АВТОРЕФЕРАТ ДИССЕРТАЦИИ по праву и юриспруденции на тему «Система правовой защиты персональных данных в Европейском Союзе»
На правах рукописи
Вельдер Илья Александрович
СИСТЕМА ПРАВОВОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ
12.00.10 - Международное право. Европейское право
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата юридических наук
Казань - 2006
Работа выполнена на кафедре конституционного и международного права ГОУ ВПО «Казанский государственный университет им.В.И.Улъянова-Ленина».
Научный руководитель - кандидат юридических наук,
доцент Наталья Евгеньевна Тюрина
Официальные оппоненты - доктор юридических наук,
профессор Анатолий Яковлевич Капустин
кандидат юридических наук, доцент Ад ель Ильсиярович Абдуллин
Ведущая организация Уральская государственная юридическая академия
Защита диссертации состоится 22 июня 2006 года в 10.00 на заседании диссертационного совета Д. 212.081.13 по присуждению ученой степени доктора юридических наук при ГОУ ВПО «Казанский государственный университет им.В.И.Улъялова-Ленина» по адресу: 420008, г.Казань, ул.Кремлевская, д.18, Юридический факультет, ауд.324
С диссертацией можно ознакомиться в научной библиотеке им.Н.ИЛобачевского Казанского государственного университета.
Автореферат разослан 20 мая 2006 года.
Ученый секретарь диссертационного совета, кандидат юридических наук, доцент
А.Р.Каюмова
2ÖÖ(P h
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы исследования. Широкое распространение и применение информационных технологий, методов автоматической обработки данных, формирование глобальных информационных систем, доступ к которым может осуществляться практически любым лицом из любой точки земного шара - это реальные характеристики набирающей обороты цифровой эры С одной стороны, все преимущества свободного доступа к информации напрямую обеспечивают гражданам реализацию одного из главных демократических прав на свободу информации, а ведение масштабных автоматизированных баз данных не только существенно оптимизирует разнообразные процессы подготовки и принятия решений, но и облегчает гражданам доступ к услугам цифрового рынка - от использования кредитных карт до формирования биометрического портрета и прогнозирования возможных заболеваний С другой стороны, широкое использование персональных данных органами государственной власти, коммерческими и общественными организациями существенно усиливает риск несанкционированного вторжения посторонних лиц в личную сферу человека, создает угрозу нарушения одного из его основополагающих естественных прав - права на неприкосновенность частной жизни.
Необходимость первостепенной защиты прав человека и формирование принципа о необходимости подобной защиты подчеркнуто в работе Джона Локка «Два трактата о правлении», которая была опубликована в 1690 году, где автор писал о том, что, несмотря на то, что человек в естественном состоянии является абсолютным господином собственной личности и владений и «обладает подобным правом, все же пользование им весьма ненадежно и ему постоянно угрожает посягательство других»1. Многим позже, в конце XIX века, вопрос о необходимости защиты человека и его собственности был сформулирован несколько иначе. В 1890 году адвокат из г Бостона (США), будущий судья Верховного Суда, Луис Д.Брандейс совместно с его коллегой Самюэлем Уорреном опубликовали в Гарвардском правовом журнале статью «Право на приватность»2. Авторы статьи сформулировали категорию «право быть оставленным в покое», полагая, что вторжение в частную жизнь представляет собой преступление более тяжкое, чем клевета и оскорбление, и потому требует более сильных я эффективных средств защиты.
Право на защиту персональных данных является одним из неотъемлемых прав современного человека. Именно так данное право трактуется в проекте Договора, учреждающего Конституцию для Европы (далее « Проект Конституции ЕС»).
Наиболее активное развитие норм о защите персональных данных наблюдается в европейском праве. Начиная с Европейской конвенции о защите прав и основных свобод, далее к Конвенции Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных, к Директиве 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных и к Хартии
' Джон Локк. Сочинение в 3-х томах, Москва, 1988 г., т 3, с.334
2 Brandeis Louis D , Warren Samuel Right of Privacy Первая публикация - Harvard L
-3-
РОГ. НАЦИОНАЛЬНАЯ
»ReviÄHW^FKA С.-Петербург
ОЭ 201) £кт fSÎ/
Европейского Союза об основных правах 2000 года - таковы основные этапы формирования нормативного механизма защиты персональных данных на европейском континенте. Заключительным этапом его формирования стало принятие национальных законов стран -участниц ЕС, направленных на регулирование вопросов защиты персональных данных. Законодательная, правоприменительная и судебная практика стран Европейского союза в области защиты персональных данных на основе гармонизированного законодательства и возникавшие спорные вопросы, которые выносились на рассмотрение Суда Европейских сообществ, формировали общеевропейский опыт защиты основных прав и свобод, способствовали дальнейшему развитию и внесению диктуемых реальпостью изменений в наднациональное европейское право
В Российской Федерации в базах данных различных учреждений, а также коммерческих и некоммерческих организаций накоплен огромный объем персональных данных, которые с каждым днем становятся все более и более популярным объектом хозяйственного оборота, при том, что российское законодательство по защите персональных данных находится на этапе формирования В Европейском Союзе и многих других странах специальное законодательство о защите персональных данных существует уже более десяти лет. Однако, в этих странах активное развитие и совершенствование информационных технологий, стирание границ передачи данных, начало использования новых видов персональных данных таких как, например, биометрические данные, появляются новые вызовы времени, требующие решения.
Необходимостью найти ответы на подобные вызовы обусловлена актуальность и комплексность исследования проблемы защиты персональных данных.
Степень разработанности темы. Проблемы правовой защиты персональных данных мало исследованы в отечественной литературе по международному, европейскому, информационному праву, а также в работах по общей теории права Отдельные работы затрагивают лишь выборочные аспекты защиты персональных данных - вопросы передачи данных в открытых сетях, защиты персональных данных работника, технические аспекты защиты персональных данных, использование персональных данных в Интернет - технологиях (работы А Г Серго, И.М.Рассолова и другие). Комплексное исследование правового института защиты персональных данных в отечественной науке не проводилось На фоне усиления актуальности темы российские правоведы уделили данной проблематике незаслуженно мало внимания. В зарубежной, особенно в европейской, литературе вопросы правовой защиты персональных данных рассматривались многими учеными, однако их работы не анализировались применительно к задачам создания механизма защиты персональных данных в Российской Федерации.
Объектом настоящего диссертационного исследования является правовое регулирование общественных отношений по защите персональных данных в Европейском союзе. Предметом исследования нормативно-правовые акты Европейского союза, государств-участников ЕС,
Российской Федерации, США и других государств, а также правовой статус субъектов персональных данных и уполномоченных органов по защите персональных данных.
Цели и задачи исследования. Основная цель настоящей работы заключается в том, чтобы проследить на примере ЕС процесс формирования института защиты персональных данных и провести сравнительный анализ европейского механизма защиты персональных данных с аналогичными механизмами в других национальных правовых системах для установления оптимальных правовых условий по обеспечению данной защиты в РФ
Для достижения указанной цели были сформулированы следующие задачи диссертационной работы:
■ изучение механизма правовой защиты персональных данных, сложившегося в Европейском Союзе, и составляющих его элементов;
■ изучение, анализ и обобщение совокупности правовых норм ЕС, регулирующих вопросы сбора, хранения, обрабо пси персональных данных, изучение аналогичных правовых норм, действующих в отдельных государствах ЕС, анализ соотношения европейского и национального права в сфере защиты персональных данных, анализ европейского законодательного, правоприменительного и судебного опыта в сфере защиты персональных данных;
■ рассмотрение и анализ наиболее актуальных правовых проблем в сфере защиты персональных данных;
■ рассмотрение и анализ основных принципов и пределов защиты персональных данных, особенностей правого статуса индивидов и других участников отношений в сфере обработки персональных данных, анализ правового статуса и полномочий консультативных и административных органов, их правоприменительной практики в указанной сфере;
■ анализ терминологических различий и подходов к регулированию вопросов защиты персональных данных и обеспечения неприкосновенности частной жизни в США и Европейском Союзе, изучение механизма взаимодействия их правовых систем в указанной сфере;
■ исследование имеющегося российского законодательства в сфере защиты персональных данных, применения имеющегося зарубежного правового опыта при выработке российских норм в данной сфере.
Методологическую основу исследования составили общенаучные методы системного анализа, обобщения нормативных, научных и практических материалов, исторический подход, часгнонаучные и специальные методы сравнительного правоведения, юридико-лингвистический подходы и другие методы.
Теоретическую основу диссертации составляют работы отечественных ученых в сфере международного и европейского права - С.В.Бахина, Р.М.Валеева, Г.В.Игнатенко, А Я.Капустина,
В А.Карташкина, С Ю Капитана, Г И Курдюкова, И И Лукашука, Л X Мингазова, Н Е Тюрштой, О И Тиунова, М.Л.Энтина, а также работы по общей теории права.
Значительную помощь при написании работы оказали труды о праве на неприкосновенность частной жизни Н Г. Беляевой, и в сфере информационного права И.Л.Бачило, А.В Волокитила, Е А. Войниканиса, Е.К.Волчинской, К.Волкова, Д В Головерова, А.С.Кемраджа, В.А.Копылова, С Кривошеева, Н.Лебедевой, В.Н.Лопатина, Е.А. Лукашевой, А.П Маношкина, М.Р. Михеевой, Ю.А Петрова, Л Д Реймана, И М. Рассолова, А.В.Солдатснкова, С.А.Савченко, Т.М. Смысловой, А.Г Серго, Г.Саниной, В И Ярочкина, М В.Якушева
При написании данной работы использовались труды таких зарубежных ученых как Л Байгрейв, Л.Брендейс, А.Блас, П.Блюм, Л.Бергкамп, Ч Бейкер, Э.Лин, С.Кирк, Н Кортес, А Рауль, Б.Уорли, М Оуэн, С Уоррен, П.Хустинкс, Я.Кабел, К.Принс, Э Эрл, К.Харви, Д.Филипс, Д.Харринггон, М.Томсон, Д.Рейденберг.
Эмпирическая база исследования. В процессе работы анализировались международные акты - Всеобщая декларация прав человека 1948 года, Международный пакт о гражданских и политических правах 1966 года, Европейская конвенция о защите прав человека и основных свобод 1950 года, Конвенция Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных, Хартия Европейского союза об основных правах 2000 года, Проект Конституции ЕС, Рекомендации международной организации экономического сотрудничества и развития разработала рекомендации по защите личной тайны и трансграничной передаче персональных данных 1980 года и многие другие. Особое внимание было уделено специализированным нормативным документам, таким как Директива 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных 1995 года, Директива 2002/58/ЕС об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникаций, Регламент Европейского парламента и Совета № 45/2001 от 18 декабря 2000 года о защите прав частных лиц применительно к обработке персональных данных органами и учреждениями ЕС и о свободном движении таких данных, решения Суда Европейских сообществ, заключения и рекомендации Рабочей группы 29-й статьи, внутреннее законодательство и судебные решения Великобритании, Бельгии, Швеции, Италии и Финляндии.
Кроме того, при написании работы анализировалось законодательство США, Канады, Новой Зеландии, всесторонне было рассмотрено законодательство Российской Федерации.
Научная новизна исследования и положения на защиту. В проведенном диссертационном исследовании впервые в отечественной науке проводится комплексный анализ европейского законодательства в сфере защиты персональных данных, складывающихся подходов к его применению в административной и судебной практике, рассматриваются существенные элементы института права на защиту персональных данных, что в совокупности формирует
европейский правовой опыт по защите персональных данных, который может быть применен в российской правовой системе. Научная новизна проделанной работы также раскрывается в следующих положениях, выносимых на защиту'
1. В условиях неуклонного расширения информационного пространства, право на защиту персональных данных должно быть причислено к фундаментальным правам и свободам человека. Оно отлично от права на неприкосновенность частной жизни, хотя имеет определенное сходство с ним. Отличие состоит в том, что право на неприкосновенность частной жизни предполагаегт защиту, наряду с прочим, информации, относящейся в частной жизни, а право на защиту персональных данных - справедливую и законную обработку этих данных вне зависимости от их характера и сферы использования.
2. Процесс формирования института защиты персональных данных, который является характерным для современного этапа правового развития, протекает неравномерно Так, в ЕС данный процесс находится на стадии завершения. Главным свидетельством тому является сформированный и действующий правовой механизм защиты персональных данных. Его основу составляют нормативные документы Европейского Союза, устанавливающие основополагающие нормы-принципы, которыми определяются правовой статус субъекта данных и компетенция государственных органов по защите персональных данных. В тех национальных правовых системах, где положение о защите персональных данпых до недавнего времени было закреплепо в декларативной форме, например, в Российской Федерации, механизм защиты персональных данных на текущий момент находится в стадии становления.
3. Институт защиты персональных данных представляет собой совокупность правовых норм, регулирующих общественные отношения, возникающие при сборе, использовании, хранении, обработке, удалении, передаче и раскрытии персональных данных, а именно любой информации, связанной с идентифицируемым или идентифицированным лицом.
Как элемент системы права он представлен совокупностью правовых норм, регулирующих однородную группу общественных отношений, характеризующихся однородностью фактического содержания, базирующихся на общих принципах залшгы персональных данных и включающих специфические правовые понягая, например, субьекгов, контролеров и операторов персональных данных, согласия на обработку персональных данных и другие Институт защиты персональных данных включает в себя весь спектр норм, необходимых для полноты правового регулирования, в том числе нормы-дефиниции, управомочивающие нормы, например, нормы о правах субъекта данных, запрещающие нормы, например, нормы о запрете обработки данных без согласия субъекта данных.
4. Институт защиты персональных характеризуется особым понятийным аппаратом, который включает такие общие понятия как «персональные данные», «субъект данных», «контролер данных», «обработчик данных», «согласие субъекта на обработку данных» и многие другие. При
закреплении данных понятий в национально-правовых актах возникает необходимость в уточнении их содержания с учетом различных обстоятельств, а именно: 1 ^становления пределов защиты персональных данных, основных принципов и 2)условий передачи данных в третьи страны, 3)полномочий правоприменительных органов по защите персональных данных, 4)степени участия неправительственных организаций и профессиональных объединений в регулировании вопросов защиты персональных данных.
5. Основу института защиты персональных данных должны составлять следующие правовые принципы: принцип законности, принцип целевой определенности, принцип минимальности, принцип качества информации, принцип участия субъекта данных и осуществления им контроля, принцип ограничения раскрытия персональных данных, принцип информационной безопасности и принцип чувствительности Данные принципы призваны обеспечивать согласованность входящих в данный институт правовых норм, служить правовым базисом для развития правовых отношений в области защиты персональных данных и должны обладать нормативной силой для использования в судебной и правоприменительной практике в условиях постоянно развивающихся информационных технологий.
6. Эффективная защита персональных данных в ЕС обеспечивается благодаря комплексному механизму, состоящему из следующих неотъемлемых элементов'
■ общеевропейская нормативная база, национальные законодательные акты, регулирующие вопросы защиты персональных данных, пределы их защиты и определяющие условия передачи персональных данных в третьи страны;
* основные принципы права по защите персональных данных, обладающие правовой четкостью;
■ европейские консультативные и надзорные органы, национальные административные органы по защите персональных данных;
■ особый правовой статус - основные права, свободы и обязательства - субъектов данных, контролеров, операторов и третьих лиц.
Данный механизм может быть использован в качестве модели при создании национальной
сислемы правовой защиты персональных данных, в частности в РФ.
7. При создании российской законодательной базы в сфере защиты персональных данных следует использовать опыт европейской правовой системы, с учетом имеющегося сходства между российской и европейской правовыми системами и приемлемого для России конструктивного европейского правового подхода, сочетающего в себе элементы стабильности и динамизма. Сформированный европейский правовой опыт по защите персональных данных должен быть использован в российском законодательстве для обеспечения адекватного уровня защиты персональных данных в РФ и для осуществления свободного информационного обмена между ЕС и Российской Федерацией и другими государствами и объединениями интеграционного типа.
Теоретическая значимость работы. В диссертационном исследовании раскрыто юридическое содержание приобретающего в современный период все большую важность института персональных данных, обоснована его самостоятельность и определено место в правовой системе (на примере ЕС) и выявлены основные элементы механизма его реализации.
Практическая значимость работы. Результаты диссертационного исследования могут быть использованы в правотворческой и правоприменительной деятельности в Российской Федерации, в деятельности правозащитных органов, в научных исследованиях, в учебном процессе при преподавании таких дисциплин, как «Международное право», «Право Европейского союза», «Информационное право», в специальных курсах «Гумапитарное право» и курсах по правам человека.
Апробация результатов исследования. Результаты диссертационного исследования были использованы при рассмотрении экспертами комитета по информационной политике Государственной Думы ФС РФ проекта федерального закона «О персональных данных» Основные положения, выводы и практические рекомендации, изложенные в диссертации, были отражены в выступлениях на научных конференциях, при преподавании курсов и ведении семинаров по предмету «Международное право», а также в опубликованных статьях автора. 1 Вельдер И А Право на защиту персональных данных в Европейском союзе история развития и актуальные проблемы Международное и Европейское право. Проблемы определения и защиты демократии, правового государства и прав человека: Тезисы докладов Международного форума, Нижний Новгород, 2-3 июля 2004 года / ННГУ им.Н.И.Лобачевского: Нижний Новгород, 2004, с.37-41
2. Вельдер И А Новый уполномоченный орган ЕС - Европейский супервайзер по защите данных Вопросы правового регулирования деятельности// Сборник трудов молодых ученых Академии управления «ТИСБИ» - Казань, 2005, с 38-46
3. Вельдер И.А Принципы защиты персональных данных в законодательстве ЕС// Сборник аспирантских научных работ юридического факультета КГУ. Вып б - Казань, 2005, с 99-104
4. Вельдер И.А Практика защиты персональных данных в странах ЕС: роль национальных административных и судебных органов // Интеллектуальная собственность и ее исследователь-Сборник трудов памяти профессора С А Чернышевой / Отв. ред. А И Абдуллин.- Казань: Изд-во Казанского государственного университета им. В .И. Ульянова-Ленина, 2005,- С. 171 -178.
5 Вельдер И А Роль национальных административных и судебных органов стран ЕС в запщте персональных данных- вопросы практики // Право и суд в современном мире Вып 3 - Казань' Казанский филиал Российской академии правосудия, 2005.- С 36-40
Структура работы. Диссертационное исследование состоит из введения, 3-х глав, включающих в себя 9 параграфов, заключения и списка нормативно-правовых источников и литературы.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении диссертационного исследования обосновывается актуальность темы исследования, определяются цели и задачи исследования, объект и предмет исследования, показывается степень разработанности избранной тематики исследования и определяется методология исследования, научная новизна, формулируются выносимые на защиту положения, излагаются теоретическая и практическая значимость работы, а также приводятся результаты апробации исследования
Глава X «Персональные данные в правовой системе ЕС» состоит из четырех параграфов В §1 «Институт персональных данных понятие и этапы формирования в праве Европейского союза» рассматриваются предпосылки формирования правового института защиты персональных данных, основные этапы его формирования в праве ЕС и эволюция понятия «персональные данные».
Основой для развития самостоятельного правового института защиты персональных данных стал институт неприкосновенности частной жизни В конце XIX века, в 1890 году в правовой доктрине на вопрос о защите неприкосновенности частпой жизни от постороннего вмешательства обратили внимание американские ученые-юристы Сэмьюэль Уоррен и Луис Брендейс В статье «Право на приватность», они рассматривали данное право как право «быть оставленным в покое» Основанная на подобном понимании концепция неприкосновенности частной жизни родилась в период активного развития свободы слова и прессы, что зачастую приводило к вторжению в частную жизнь граждан В 1948 году Всеобщая Декларация прав человека в статье 12 установила принцип, согласно которому «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию» В 1950 году аналогичная норма была закреплена в статье 8 Европейской конвенции о защите прав человека и основных свобод в следующей формулировке- «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции» Благодаря данным документам право на неприкосновенность частной жизни получило признание в качестве неотъемлемого права каждого человека. С развитием информационных технологий внимание и интерес к проблеме информационной неприкосновенности начали существенно усиливаться Появились новые технологии и средства для сбора, хранения и обработки даипых, касающихся как личной жизни индивидов, так и их публичной деятельности В праве остро встал вопрос о принятии особых правил регулирования сбора и обработки персональных данных как все более и более популярного объекта хозяйственного оборота Наиболее активное развитие норм о защите персональных данных наблюдается в Европе. Принципы, заложенные в Европейской конвенции о защите прав и основных свобод, получили свое развитие в специальных нормах Конвенции 108 Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 юда, в которой защита данных рассматривается как защита основных прав и свобод индивидов, в
частности, их права на неприкосновенность частной жизни в отношении обработки персональных данных. Далее в Директиве 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных были заложены основы общеевропейской системы защигы персональных данных, в Хартии ЕС об основных правах 2000 года право на защиту персональных данных было сформулировано в качестве самостоятельного фундаментального права Таковы основные этапы формирования нормативного механизма о защите персональных данных на европейском континенте. Заключительным этапом ею формирования стало принятие национального законодательства стран - участниц ГС о защите персональных данных
Понятие «персональные данные» также прошло длительный путь развития В 1980 году в Рекомендациях ОЭСР по защите личной тайны и трансграничной передаче персональных данных в понятие «персональной информации» включались такие данные как имя, дата и место рождения, гражданство, семейное положение брак, родственники, дети, иждивенцы, образование и навыки, информация о пройденном обучении, полученных степенях, званиях и достижениях; стиль жизни и личные предпочтения' потребительские предпочтения, увлечения, спорт, личное поведение в быту; финансовые ресурсы, доход, собственность, недвижимость; финансовые идентификаторы: детали банковских счетов и пароли доступа к пим. Далее с развитием глобальных информационных технологий понятие «персональные данные» пополнилось сетевыми идентификаторами - паролями доступа, пользовательскими именами, сетевыми сертификатами, идентификаторами, присвоенными государственными органами - номером идентификационной карты, паспорта, номером социального страхования; биометрическими идентификаторами - ДНК, отпечатками пальцев, сканом сетчатки глаза; данными о расовой и национальной принадлежности, религиозных, политических и философских убеждениях, медицинскими данными; данными о взаимодействии с органами правопорядка и правосудия. Накопление персональных данных в разнообразных системах представляет весомую угрозу их владельцу в случае неправомерного использования Так, почтовый индекс позволяет попугать информацию о благосостоянии индивида в силу его проживания в доме или районе определенного уровня, по номеру водительских прав возможно, например, получить наличные по чеку, взять на прокат автомобиль. По номеру социального страхования можно открыть банковский счет, получить заработную плату Директива ЕС определила «персональные данные» как любую информацию, связанную с идентифицируемым или идентифицированным лицом (субъекта данных), и подразумевающую информацию, зафиксированную на любом носителе.
В Российской Федерации базы данных разнообразных ведомств, коммерческих и некоммерческих организаций, накопивших большой объем персональных данных - от ИНН, сведений об уплате налогов и сборов, данных о собственности, автомобильном транспорте, доходах и расходах - уже стали активпым объектом хозяйственного оборота, при том, что
национальное законодательство по защите персональных данных находится в стадии формирования. В Европейском Союзе, в других странах, где соответствующее законодательсгво существует уже более одно1 о десятилетия, появляются новые проблемы, обусловленные усовершенствованием информационных технологий и стиранием границ передачи данных, а также началом сбора и накопления новых видов персональных данных, таких как, например, биометрические данные.
Новое поколение европейского законодательства о защите персональных данных связано с Директивой 2002/58/ЕС об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникаций, дополняющей действие Директивы 95/46/ЕС Основной целью нового документа является обеспечение защиты прав и свобод пользователей средств электронной связи в отношении их персональных данных и защита права на личную тайну (Вводная статья 7), а также минимизация обработки персональных данных и стимулирование использования анонимных данных там, где это возможно (Вводная статья 9).
Согласие пользователя - любого лица, использующего в личных или деловых целях общедоступные средства электронных коммуникаций - остается одним из основных требований при сборе и обработке данных Пользователь должен выразить свое очевидное согласие на предоставление персональных данных любым доступным и свободным способом, позволяющим ему осведомленно выразить свои намерения, в том числе и путем проставления «галочки» при посещении Интернет-страниц.
Существенное влияние на формирование института защиты персональных дапных оказал Суд Европейских сообществ В мае 2003 года было вынесено первое решение по датой тематике На повестке дня в австрийском деле Rechnungshof стоял вопрос о том, возможно ли публиковать данные о заработной плате публичных служащих. Решение суда четко определило, что положения Директивы ЕС имеют отношение и к обработке персональных данных публичном секторе. В ноябре 2003 года в шведском деле Lindqvist суд постановил, что основные положения Директивы ЕС - принципы защиты персональных данных - имеют прямое отношение и к Интернет-сайтам. В частности, речь шла о том, что многие положения о трансграничной передаче данных несколько не соответствуют реалиям Интернета и нуждаются в корректировке.
С момента своего появления первые нормы о защите персональных данных рассматривались в контексте права на неприкосновенность частной жизни. Реалии времени, стремительное развитие информационных технологий, активный сбор и обработка персональных данных как в сфере частной жизни, так и в публичных отношениях индивидов с организациями и властными структурами заметно меняют содержание правовой категории персональных данных Данная категория стремительно вырывается за пределы частной жизни. С учетом этого в европейском законодательстве начинается формирование самостоятельного института права на защиту персональных данных как одного из основных прав и свобод человека. Так, авторы проекта
Конституции ЕС3, который в настоящий момент подлежит утверждению гражданами стран-членов FС, в главе «Свободы» Хартии основных прав Союза разделили правовые категории «уважения неприкосновенности частной и семейной жизни, жилища и коммуникаций» и «права на защиту персональных данных» как самостоятельные осповпые права, закрепленные в статьях П-67 и И-68 Данное разделение продолжает начатую Советом Европы работу в 1970-х годах Европейский подход в регулированию вопросов о праве на защиту персональных данных основывается на понимании данного права как одного из фундаментальных прав человека, живущего в информационном обществе, и несколько отличного от сложившегося права на защиту неприкосновенности частной жизни. Каждое из указанных прав обладает рядом специфических свойств, совместное использование которых улучшает механизм защиты интересов индивида. Оба права основываются на необходимости правовой регламентации, на принципах легитимного целевого использования информации, наличия адекватных и эффективных способов правовой защиты нарушенных прав - только в случае защиты неприкосновенности частной жизни речь идет о предотвращении вторжения в частную сферу, а в другом случае - об обеспечении справедливой и законной обработки персональных данных вне зависимости от того, попадаю! ли они в сферу частой жизни или нет.
В настоящее время нормы о защите персональных данных в ЕС составляют совокупность обособлеппых юридически обязательных установлений, регулирующих группу однородных общественных отношений и имеющих все возрастающее значение в сфере правового регулирования прав человека. Это дает основание для вывода об образовании самостоятельного правового института защиты персональных данных Таким образом, под правовым институтом защиты персональных данных необходимо понимать совокупность правовых норм, регулирующих общественные отношения, возникающие при сборе, использовании, хранении, обработке, удалении, передаче и раскрытии персональных данных, а именно любой информации, связанной с идентифицируемым или идентифицированным лицом
§2 «Актуальные правовые вопросы в сфере зашиты персональных данных в ЕС и подходы к их решению». Стремительное развитие технологий передачи данных порождает все новые и новые проблемы, требующие решения. Так, в ЕС и США на практике возникали существенные проблемы при передаче данных через океан. Одним из способов решения проблемы было предложено использование модельных договоров по передаче данных в третьи страны и принятие принципов «Безопасной бухты» - Safe Harbor principles Другой актуальной проблемой является использование биометрических данных граждан и резидентов ЕС, использование которых особенно возрастает в сфере пассажирских авиаперевозок. В связи с этим Международная организация гражданской авиации продолжает подготовку общих правил и технических стандартов интеграции биометрических данных - отпечатков пальцев и средств идентификации лица человека, которые
3 Draft of Constitution of Europe EN Official Journal of the European Union C 310/41 16 12.2004
-13-
используются в международных паспортах и документах путешественников для целей борьбы с международным терроризмом, а также для целей ускорения проведения пограничных проверок и паспортного контроля Кроме того, возрастает объем использования биометрических данных в частном секторе на добровольной основе, при этом существуют технические возможности сбора подобных данных так, что субъект данных факта сбора не заметит либо бессознательно оставит где-либо биометрические следы, например, отпечатки своих пальцев на товаре в магазине При этом биометрические данные формируют машиночетаемый портрет тела человека, и могут быть использованы как глобальный уникальный идентификатор личности.
Использование персональных данных в политической деятельности также приобретает особый интерес среди европейских ученых и практиков. Право свободы политической речи является одним из основных прав граждан НС В европейских странах в целях повышения открытости деятельности органов государственной власти активно используются системы электронного правительства, которые, для авторизации доступа граждан к содержащейся информации, требуют обработки их персональных данных. В результате ведения подобных баз данных, а также сбора информации политическими организациями, у последних накапливается большой объем персональных данных о членах партий, членах групп поддержки, а именно электронные адреса, телефонные номера, данные о семейном положении и месте работы, а также о принадлежности к политическим партиям и политических взглядах, которые относятся к категории чувствительных персональных данных, требующих особой защиты.
Однако, если в европейском праве продолжают возникать проблемы правового регулирования режима и способов обработки отдельных видов персональных данных на фоне сформировавшегося законодательного и судебного опыта, то в Российской Федерации до сих пор еще не созданы правовые нормы, которые урегулировали бы основные принципы использования персональных данных Соответствующий законопроект пока находится на рассмотрении в Государственной Думе В то же время персональные данные становятся все более и более привлекательных рыночным товаром без установленных правил его оборота. В открытой розничной продаже появлялись базы данных ГИББД по автотранспорту Москвы и Московской области, базы прописки по столичному региону, база водительских удостоверений, базы абонентов телефонных компаний и прочие В умелых руках подобная информация может стать по-настоящему опасным оружием Таким образом, необходимость в правовом механизме защиты персональных данных, в определении мер правовой ответственности за неправомерное использование персональных данных в РФ стала вполне очевидной
§3. «Принципы защиты персональных данных в законодательстве ЕС». Директива ЕС 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном движении персональных данных закрепила восемь основных принципов защиты персональных данных, в соответствии с которыми должны действовать «котролеры данных» - лица или
организации, которые определяют цели и способы обработки персональных данных Директива, как говорится в § 11 Вводной части, развивает и расширяет принципы Конвенции 108 Concia Европы 1981 года. Таким образом, страны-участницы ЕС должны обеспечить реализацию следующих основных принципов:
1. персональные данные обрабатываться добросовестно и законно - принцип «законности»;
2 персональные данные собираются для определенных, четких и легитимных целей и не могут быть в дальнейшем обработаны способом, не совместимым с данными целями принцип «целевой определенности»;
3 Персональные данные должны соответствовать целям, для которых они собираются и обрабатываются, и не бьггь избыточными в отношении этих целей - принцип «минимальности»;
4 Персональные данные должны быть точными и в случае необходимости обновляться -принцип «качества информации»;
5. Контролеры данных либо их представители должны предоставить субъекту данных, о котором или от которого собираются персональные данные, определенную информацию и обеспечить доступ субъекту данных к его персональным дашшм - принцип «участия субъекта данных и осуществления им контроля»,
6 Раскрытие персональных данных контролерами данных третьим лицам ограничивается и может осуществляться только при соблюдении определенных условий - принцип «ограничения раскрытия персональных данных»;
7 Контролер данных должен предпринять все необходимые технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения или случайной утраты, изменения, несанкционированного разглашения или доступа, в особенности в случае передачи данных по сетям, а также от любых иных форм незаконной обработки данных - принцип «информационной безопасности»;
8 Обработка чувствительных персональных данных должна осуществляться при более строгом контроле, чем других персональных данныхы - принцип «чувствительности». Данные принципы не только являют собой отправные начала для свода правовых норм о
защите персональных данных, но и сами обладают нормативной силой Указанные принципы введены в Директиву НС и законодательство стран- участниц ЕС, и, кроме того, они служат ориентирами для уполномоченных органов в области защиты персональных данных при осуществлении ими своей деятельности. Указанпые восемь принципов являются базисом для создания новых правовых норм в указанной сфере в ответ на все более современные и изощренные технологии и инновации в области обработки данных. Каждый из принципов подробно анализируется в работе.
§4. «Правовой статус субъекта персональных данных» Правовой статус субъекта данных составляют его права и обязанности по защите персональных данных, которые являкп собой суть европейского режима правовой защиты персональных данных. Правовой статус основан на концепции прозрачной контролируемой обработки данных, отвечающей правомерным интересам субъекта данных Автор уделяет особое внимание рассмотрению каяздого из правомочий, составляющих правовой статус субъекта данных. Право на информацию предполагает, что субъекту данных должна быть предоставлена информация о целях сбора и обработки персональных данных для того, чтобы гарантировать их справедливую обработку в отношении субъекта (данные, идентифицирующие контролера; информация о получателях персональных данных и г.п) Право на доступ к информации, ее исправление и удаление обеспечивает возможность получать от контролера данных без задержек и без излишней платы подтверждение о том, обрабатываются ли какие-либо персональные данные о субъекте, информацию о целях такой обработки. Субъект данных всегда вправе потребовать исправления либо удаления его персональных данных, в случае, если они либо неточны, либо неполны Особый интерес представляют случаи, когда обработка персональных данных осуществляется без согласия субъекта данных. В подобных обстоятельствах национальное законодательство должно как минимум I арангировать субъекту право быть информированным о предстоящей обработке данных и право возражать против обработки данных при наличии убедительных оспований, касающихся его конкретной ситуации Так, обработка может быть осуществлена без согласи« субъекта при наличии законного интереса контролера данных или третьего лица, которому эти данные передаются. Существенные проблемы возникают при определении «убедительных оснований» субъекта данных. Можно предположить, что одним из подобных оснований может быть ссылка на возможный ущерб для субъекта, который может быть ему причинен в результате обработки данных. Кроме того, обработка дшшых может осуществляться без согласия субъекта в публичном интересе либо при осуществлении контролерами (или третьими лицами) их официальных властных полномочий Субъект данных всегда обладает правом возражать против обработки персональной информации, если таковая осуществляется в целях прямого маркетинга. Осуществление данного права должно происходить без взимания какой-либо платы, а также без объяснения причин. Право на конфиденциальность предполагает жесткий запрет обработчику данных, а также лицам, действующим от его имени, и имеющим доступ к персональным данным, не производить никаких операций по их обработке при отсутствии указания от контролера данных, кроме случая, если обработка напрямую предписана законом. Дополнительной гарантией обеспечения права на защиту персональных данных является механизм уведомления, который представляет собой основу правового статуса контролера данных. Контролер данных должен уведомлять уполномоченные органы по защите персональных данных о предстоящих операциях по их обработке В каждой стране ЕС учреждены специальные органы власти, работающие в сфере
защиты персональных данных. Каждый из подобных органов является регистратором операций по сбору и обработке персональных данных и ведет соответствующий регистр Основанный на принципах защиты персональных данных правовой статус субъекта данных, составляющие его права самого субъекта и корреспондирующие ему обязанности контролера данных, обеспечивают необходимые правовые гарантии и должный уровень защиты интересов субъекта на фоне постоянно развивающихся технологий сбора, обработки и передачи данных
Автор подробно рассматривает также механизм передачи данных в третьи страны Европейское законодательство устанавливает, что передача персональных данных в третьи страны возможна только в том случае, если в этих странах будет обеспечен адекватный уровень защиты Адекватность уровня защиты подлежит всесторонней оценке, с учетом таких факторов как природа персональных данных, цели и период обработки, страна происхождения и страна назначения, нормы законодательства (общие и специальные) в стране назначения персональных данных и т.п.
Существует целый ряд особенностей при защите персональных данных в сфере электронных коммуникаций Особый интерес здесь представляют правоположепия, содержащиеся в Директиве ЕС 2002/58/ЕС о конфиденциальности и электронных коммуникациях Директива призывает провайдеров и операторов электронных сетей к максимальной защите безопасности их услуг, а также к своевременному и бесплатному информированию абонентов сетей о возможных рисках нарушения безопасности сети. Многие из положений европейского законодательства восприняты разработчиками терминального оборудования и программного обеспечения, осуществляющего передачу данных в открытых сетях
В делом акты ЕС о правовой защите персональных данных требуют от стран-участниц ЕС принятия законодательных норм, требующих от контролеров данных «адекватных технических и организационных мер» для защиты персональных данных от случайного или незаконного разрушения, случайной утраты, изменения, несанкционированного разглашения или доступа, особенно в случае, если речь идет о передаче данных посредством электронных сетей. Технические и организационные меры должны соответствовать уровню и объему рисков нарушения безопасности персональной информации, быть более строгими по отношению к чувствительной информации Как видно, указанные требования носят обобщающий характер и могут быть конкретизированы с учетом особенностей каждой страны и сферы применения персональных данных
Глава 2 «Механизм защиты персональных данных в ЕС» состоит из трех параграфов §1 «Уполномоченные органы и вопросы правового регулирования их деятельности» посвящен рассмотрению правового положения, характеристике деятельности, административной и правоприменительной практике, структуре и полномочиям самостоятельных органов ЕС и стран-участниц в сфере защиты персональных данных Большое внимание автор уделяет рассмотрению
Регламента Европейского парламента и Совета № 45/2001 от 18 декабря 2000 года о защите прав частных лиц применительно к обработке персональных данных органами и учреждениями ЕС и о свободном движении таких данных, который в статье 41 учредил независимый институт Европейского Уполномоченного по защите данных (§ 1.1.), основной задачей которого является обеспечение уважения права на неприкосновенность частной жизни и защиту персональных данных всеми союзными институтами и учреждениями. Уполномоченный ответственен за обеспечение применения норм Постановления 45/2001, а также любого иного союзного акта в сфере персональных данных всеми структурами ЕС, а также за консультирование последних по всем вопросам обработки персональных данных. Один из главных принципов деятельности Уполномоченного - его независимость - обеспечивается такими мерами, как избрание на должность из числа лиц, кто обладает опытом и навыками, необходимыми для работы в указанной должности или возможность увольнения или лишения привилегий только решением Суда Европейских сообществ по требованию Европейского парламента Кроме того, Уполномоченный и его заместитель при исполнении своих обязанностей действуют абсолютно независимо, и не обращаются за, равно как и не получают каких-либо указаний от кого-либо. Его консультационная функция на высшем уровне проявляется в работе с Европейской Комиссией по вопросам принятия нормативных актов применительно к защите прав частных лиц при обработке персональных данных Также Уполномоченный рассматривает и расследует жалобы частных лиц, о которых либо от которых собираются или обрабатываются данные, обладает правом требовать от контролеров открытия доступа к любым персональным данным и к любой информации, касающейся жалобы; полномочен вынести замечание или предупреждение контролеру данных; потребовать исдравления, блокирования, стирания или уничтожения данных; обладает правом передать дело на рассмотрение высших органов ЕС, Суда Европейских сообществ и участвовать в судебном разбирательстве Существенные полномочия предоставлены Уполномоченному в части применения «исключений из правил», что придает правовой системе защиты персональных данных, по мнению автора, определенную гибкость, необходимую для адаптации Постановления к ситуациям, которые не могли быть предусмотрены законодателями при подготовке данного документа. В частности, статья 10 Постановления 45/2001 запрещает обработку чувсшительных данных - данных о расовой принадлежности и религиозном вероисповедании и т.п. Тем не менее, обработка данных осуществляется с одобрения Уполномоченного в статистических целях, либо в случае, когда это необходимо в интересах исторического либо научного исследования, причем без информирования субъектов данных о целях и способах обработки данных о них, как это предусмотрено практически во всех иных случаях обработки персональных данных. Данное положение представляется вполне целесообразным.
Другим основным институтом в механизме защиты персональных данных в ЕС является созданная в 1996 году Рабочая Группа 29-й статьи (§ 1.2.) или Рабочая группа по защите
индивидов в отношении обработки их персональных дашшх (название в силу учреждения органа статьей 29 Директивы ЕС) Этот независимый консультативный орган играл ключевую роль в осуществлении гармонизации законодательства Европейских) Союза в области защиты персональных данных, в деятельности по приведению национальных законодательных стандартов в данной сфере в соответствие со стандартами Директивы ЕС 95/46 Деятельность Рабочей группы обусловлена такими задачами, как предоставление ЕвроКомиссии особого мнения относительно уровня защиты персональных данных в странах ЕС и в третьих странах; консультирование ЕвроКомиссии относительно любых предложенных поправок к Директиве, либо по любым дополнительным или специальным мерам по защите прав и свобод физических лиц относительно обработки их персональных данных либо любых иных мер, предложенных Сообществом и затрагивающих указанные права и свободы; предоставление своего мнения по кодексам и сводам правил, принимаемых на союзном уровне. Суд Европейских сообществ в своих решениях «Rechnungshof» и «Linqvist» отметил, что Директива ЕС имеет широкий спектр применения, который выходит далеко за пределы внутреннего рынка ЕС Следуя данному подходу Рабочая группа в пределах своей компетенции предоставляла рекомендации по применению законов о защите персональных данных как в пределах ЕС, так и за его пределами в отношении третьих стран, особенно в отношении стран, куда могли или должны были передаваться данные из стран ЕС Новый спектр задач появился перед Рабочей группой в связи с расширением ЕС в 2004 году и вхождением в его состав десяти новых европейских государств Это прежде всего касается содействия новым странам в создании самостоятельных органов в сфере защиты персональных данных, передаче накопленного опыта и налаживашпо практической деятельности по надзору в указанной сфере и эффективному рассмотрению поступающих заявлений и жалоб от граждан В последние годы Рабочей группой предприняты существенные шаги по налаживанию сотрудничества с Объединенными надзорными органами ЕС, созданными в рамках Шенгенского соглашения, Европола, Решепия Совета ЕС о создании Eurojust Речь идет о сотрудничестве путем взаимодействия в обмене информацией и создании условий для адекватной защиты персональных данных, например, данных о пассажирах авиалиний, пересекающих границы ЕС, или данных иммиграционных ведомств, что в целом содействует оптимизации механизма обмена данными и обеспечению необходимого уровня их защиты.
В § 1.3 «Национальные органы по защите персональных дашшх» рассматриваются общеевропейские подходы к регулированию правового положения национальных органов стран-участниц ЕС по защите персональных данных и специальные нормы о деятельности национальных органов на примере Комиссара по информационным делам Великобритании. Первые национальные органы по защите персональных данных были созданы задолго до принятия Директивы ЕС Первыми были Франция - Commission Nationale de l'Informatique et des Libertés - и Германия - Bundesbeaufiragter fur den Datenschutz -, создавшие своя национальные органы в 1978
году В 1979 году появился Danish Data Protection Agency (Datatilsynet) в Дании, а в 1980 Datenschutzkommission в Австрии4. Среди новых стран-участниц ЕС в 2002 свои национальные органы создали Кипр (Office of the Personal Data Protection Commissioner), Словакия (Office for Personal Data Protection / Urad na ochranu osobn^ch udajov) и M альта (Commissioner for Data Protection) Помимо стран-участниц EC, в Европе специализированные органы по защите персональных данных созданы в странах Европейской экономической зоны - Исландии, Норвегии, Лихтенштейне, и в странах-кандидатах па вступление в ЕС - Болгарии, Румынии, Боснии и Tepuei овине В других регионах самостоятельные органы существуют в Австралии, Новой Зеландии, Израиле, Японии, Швейцарии, Тайване и США. Данный факт свидетельствует о том, что институт защиты персональных данных становится неотъемлемой частью национальных правовых систем.
В § 2 «Административная практика в сфере защиты персональных данных» рассматриваются практические вопросы применения европейского законодательства о защите персональных данных уполномоченными органами. Рабочая группа 29-й статьи свое особое внимание уделила вопросам уровня защиты авиакомпаниями Канады данных о пассажирах авиарейсов и предварительных данных о пассажирах при их передаче в пограничные службы Капады Данные вопросы стали результатом переговоров между Комиссией ЕС и властями Канады по итогам предварительных рекомендаций, предоставленных Рабочей группой В целях установления адекватности уровня защиты информации Рабочая группа рекомендовала установить перечень конкретных и строго определенных правовых оснований для передачи персональных данных, например, в случае расследования терроризма либо оказания противодействия ему Другая рекомендация касалась периода удержания персональных данных о пассажирах авиарейсов Рабочая группа рекомендовала ограничить период шестью годами с последующей анонимизацией данных Согласно законодательству Канады (Canadian Privacy Act) индивидуумам гарантируется право доступа и корректировки их персональных данных Конроль за соблюдением данного права осуществляет самостоятельный полномочный орган -Комиссар по делам о конфиденциальности (Canadian Privacy Commissioner). Тем не менее, закон Канады устанавливает, что для того, чтобы воспользоваться данным правом, физическое лицо должно находиться в Кападе Рабочая группа рекомендовала пограничным службам Канады в административном порядке расширить сферу действия данной нормы с последующим закреплением в законодательном порядке, в том числе и с учетом граждан Канады вне ее территории Одной из наиболее актуальных проблем, находящихся в фокусе Рабочей группы, является использование технологий радиочастотной идентификации -как потенциальной угрозы нарушения права на защиту конфиденциальности и персональных данных. Рабочая группа в своих рекомендациях настаивает на том, чтобы контролеры данных, использующие технологию радиочастотной идентификации, уведомляли своих клиентов о
4 Summary of the results of the Questionnaire year 2003 Spnng Conference of European Data Protection Authorities. Rotterdam, April 21-22-23,2004. College Bescherming Pereoonsgegevens Netherlands
-20-
наличии подобной системы, о целях сбора информации, о типе собираемой информации и возможности раскрытия данной информации третьим лицам, и, конечно, информации о контролере данных. По мнению автора, подобное уведомление должно носить обязательный характер.
В этом параграфе рассматривается также зашита нарушенных прав в практике Объединенного Королевства Большая часть из этих нарушений по данным 2004 года относится к нарушениям Закона о защите информации и Закона о потребительском кредитовании: в том числе по кредитным делам (более 17%), а также по делам относительно несанкционированного маркетинга и нарушений в сфере телекоммуникаций (более 13%) Автор приводит практические примеры наиболее интересных дел, рассмотренных и опубликованных Комиссаром по информационным делам Великобритании Анализ данных примеров приводит автора к выводу о гом, что судебная практика Великобритании с одной стороны, уточняет толкование понятия «персональные данные», с другой стороны, ослабляет защитную позицию самого субъекта данных
В § 3 «Пределы защиты персональных данных» рассматриваются установленные европейским законодательством правовые ограничения действия норм о защите персональных данных К числу подобных ограничений относятся обработка данных, которая выполняется исключительно в целях журналистики, либо в целях артистического (художественного), либо литературного выражения (творчества) Под исключительное регулирование подпадают также ситуации, при которых выполняются операции по обработке данных, необходимые для балансирования права на защиту неприкосновенности частной жизни и правоположений, гарантирующих свободу слова Кроме того, ограничения могут бьггь установлены в целях национальной безопасности, обороны, публичной безопасности; предупреждения и расследования преступлений, в том числе преследования преступников, а также нарушений профессиональных кодексов поведения; защиты финансового или экономического интересов страны-участнипы ЕС, включая денежные, бюджетные и налоговые вопросы; мониторинга, надзора и выполнения иных регулятивных государственных задач в целях, указанных выше; защиты прав и законных интересов субъектов данных.
Кроме того, законодательство допускает исключение в отношении обработки персональных данных в научных целях либо в целях статистических исследований, что в ряде случаев оставляет существенные возможности для злоупотребления правом Директива не указывает однозначно на официальный характер статистики, в рамках которой возможен сбор и обработка персональных данных Так, медицинские данные либо данные о характере и спектре продаж могут официально проводиться не в коммерческих целях, а скажем, в целях выявления наиболее распространенных заболеваний. Подобные исследования зачастую проводятся коммерческими предприятиями. Формальный статистический характер целей использования ими персональных данных открывает широкие возможности для сбора и хранения информация в коммерческих целях, пренебрегая согласием субъектов данных В подобной ситуации суд будет наиболее эффективным способом
защиты конфиденциальности информации с точки зрения субъекта данных Весьма интересным пределом защиты персональных данных служит статья 9 Директивы ЕС - свобода слова как одна из основных свобод граждан ЕС не может бьпъ нарушена правом на защиту персональных данных Государства-участники ЕС должны обеспечить в национальном законодательстве ограничения этого права в целях, если персональные данные собираются и обрабатываются в художественных или литературных целях По мнению автора, указанные ограничения необходимы для обеспечепия баланса отдельных прав и в публичных целях.
Глава 3 «Соотношение европейской и некоторых других правовых систем защиты персональных данных» состоит из двух параграфов В § 1 «Взаимодействие европейской и американской систем защиты персональных даппых» подробпо рассматриваются различные подходы европейского и американского законодателей к регулированию вопросов защиты персональных данных и пути выработки взаимоприемлемых и эффективных решений В первую очередь, можно отметить терминологические различия В ЕС используется термин «data protection» - защита информации и термин "personal data" - персональные данные, которые, в первую очередь, относятся к сбору и обработке персональных данных в целом. В США используется термин "privacy" - личная жизнь и "privacy data" - информация о личной жизни Соответствующими понятиями охватываются все виды данных - от медицинских данных до данных об абонентах в телефонных справочниках и их праве отказаться от включения персональной информации в подобные справочники Исходя из анализа рассмотренного ранее законодательства ЕС, точной дефйяитоГи персональных данных, которая закреплена в Директиве ЕС, можно сделать вывод, что европейское право более узко и четко трактует содержание персональных данных, понимая под ними конкретную идентифицирующую информацию, нежели чем это принято в США, где в понятие «privacy» включены еще и элементы правового статуса граждан - такие как их права и свободы Понятие «персональные данные» более емкое и может бьпъ составной частью понятия «личная жизнь» Различаются и подходы к правовому закреплению института персональных данных. В Европейском Союзе в 1995 году был принят единый нормативный акт - Директива ЕС, которая была имплементирована в национальное законодательство стран ЕС в виде законов В США нет единого закона о защите персональных данных. Законодательство США направляет свои усилия на урегулирование конкретной идентифицированной проблемы. Основным законом США в данной сфере был принятый в 1974 году Privacy Act, который запрещал правительственным ведомствам разглашать информацию, касающуюся частных лиц, и предоставлял частным лицам право знакомиться, снимать копии и вносить исправления в их личные дела, хранящиеся в архивах государственных учреждений Использование персональной информации государственными структурами США урегулировано достаточно детально. Отношения в негосударственной сфере регулируются несколькими специальными законами. В отличие от стран ЕС, в США нет единого органа, координирующего вопросы защиты персональных данных В пределах своей компетенции
подобную работу ведут, например, Департамент Коммерции - вопросы телекоммуникаций и информационных технологий, Федеральная торговая комиссия - вопросы защиты потребительской информации, Бюджетный офис - вопросы использования персональной информации государственными службами
Существенные различия в системах правового регулирования и наличие разных координирующих органов были главными препятствиями для взаимодействия ЕС и США в сфере защиты и передачи персональных данных Решением данной проблемы стало принятие «Принципов Безопасной Бухты» ("Safe Harbor Privacy Principles", далее «Принципы») — такое название получил название документ, разработанный Европейской Комиссией и Департаментом Коммерции США с целью развития торговли и экономических отношений между ЕС и США и содействию организациям США в достижении уровня защиты персональных данных, адекватно установленному Директивой ЕС
Спектр применения Принципов достаточно широк Принципы предназначены для использования организациями США, получающими персональную информацию из ЕС для установления адеквашости уровня защиты Принципы регулируют передачу разнообразных данных, в том числе и персональных данных работников Причем в поле регулирования попадают юлько данные об идентифицированном или идентифицируемом индивиде. Так, агрегированная или статистическая информация в сферу регулирования не попадает, равно как и анонимизированная информация В сферу регулирования также попадает медицинская информация, которая также подлежит обезличиванию для целей дальнейших научных использований В ином случае такая информация может быть использована только с согласия субъекта данных. Следует отметить, что в случае, если компания, имеющая обязательства согласно Принципам, сливается либо поглощается другой компанией, которая аналогичных обязательств не имеет, к новому юридическому лицу переходят обязательства согласно Принципам Принципы применяются к американским организациям с того момента, как только передаваемая информация поступила в США При этом право стран ЕС применяется к способам сбора и обработки персональных данных до их передачи в США Европейское и американское законодательство уже наметили определенные пути сближения при сотрудничестве в сфере защиты персональных данных, несмотря на то, что практические и теоретические подхода остаются различными. По мнению диссертанта, «Принципы Безопасной Бухты» являют собой заслуживающее внимания решение проблемы защиты персональных данных в международных отношениях.
В §2 анализируется роль правового опыта ЕС в формировании российского законодательства в сфере защиты персональных данных. Правовые основы защиты персональных данных в Российской Федерации заложены в Конституции РФ. Ст 23 ч.1 закрепила право каждого на неприкосновенность частной жизни, а ст 24 ч 3 недопустимость сбора, хранения, использования и распространения информации о частной -жизни лица без его согласия Первым
специальным законодательным актом, предпринявшим попытку в условиях новой России создать механизм защиты информации и персональных данных в том числе, стал Федеральный закон 1995 года «Об информации, информатизации и защите информации» В законе впервые появилось понятие «информация о гражданах (персональные данные)» - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность В настоящее время положения о защите персональных данных содержатся в ряде федеральных законов, однако остаются проблемы, не получившие решения Так в законодательстве имеется пробел в отношении общего порядка использования и сбора персональных данных Исключение составляет трудовое законодательство, где в главе 15 Трудового кодекса Российской Федерации закреплено поняше обработки персональных данных (их получение, хранение, комбинирование, передача или другое использование), установлен принцип их использования в целях исполнения законов, содействию в трудоустройстве, обучению и продвижению по службе и т.п. Однако, ни гражданское, ни уголовное законодательство не содержат понятия «персональные данные», ограничиваясь понятием «частная жизнь», что, как было показано, не одно и тоже. Данный факт не позволяет с уверенностью говорить о возможности эффективного обеспечения гарантий зашиты персональных данных в случае их нарушения, например, в судебном порядке Предложенный законопроект «О персональных данных» призван изменить ситуацию Он предусматривает реализацию положений Конституции РФ, закрепляющих права и свободы граждан статьи 23 (право не неприкосновенность частной жизни), статьи 24 (запрет на сбор, хранение, использование и распространение информации о частной жизни лица), части 4 статьи 29 (право искать, получать, передавать, производить и распространять информацию любым законным способом) Кроме того, он направлен непосредственно на обеспечение защиты таких прав граждан, как право на неприкосновенность частной жизпи при сборе и обработке персональных данных, осуществляемое путем установления общих принципов сбора и обработки персональных данных; определения прав субъектов персональных данных; определения обязанностей и ответственности операторов; установления условий трансграничной передачи персональных данных Законопроект вводит правовые понятия «персональные данные», «субъект данных», «обработка персональных данных» и «оператор» в значениях, близких к закрепленным в европейских правовых документах Терминологическое обозначение данных понятий, совпадающее с обозначениями, использующимися в Директиве ЕС, позволяет отойти от пространной формулировки «идентифицирующая информация» как это установлено в Федеральном законе № 24-ФЗ «Об информации . » к термину «информация об идентифицируемом лице» Законопроект вводит также новое понятие «оператор информационной системы персональных данных», которым может быть орган государственной власти или орган местного самоуправления, юридическое или физическое лицо, осуществляющее работу с информационной системой персональных данных на законных основаниях и определяющее цели, содержание и применение результатов обработки
персональных данных. В европейском законодательстве существует два основных актора, работающих с персональными данными - конгролер персональных данных - лицо, определяющее цели и задачи их обработки - и обработчик персональных данных - лицо, по поручению или на основании договора с контролером осуществляющее непосредственную обработку персональных данных В российском законодательстве предпринята попытка объединить две функции -постановки целей сбора и обработки персональных данных и их фактической обработки в одном # лице. Также предусмотрена возможность передачи функций собственника информационной
системы по обработке данных оператору по договору при условии обеспечения конфиденциальности персональных данных, подвергающихся обработке, в том же объеме и на тех же условиях, установленных для собственника информационной системы законом. В этих целях законопроект вводит новый тип гражданско-правового договора об оказании услуг по обработке персональных данных, в котором условие об обеспечении конфиденциальности персональных данных будет являться существенным. Заключение подобного договора с обязательным включением в нею условий об обеспечении оператором конфиденциальности полученных им для обработки персональных дапных, по мнению автора, создаст дополнительные гарантии защиты прав субъектов данных Законопроект воспроизводит все закрепленные в европейском законодательстве принципы сбора и обработки персональных данных. Кроме г ого, законопроект распространяет их действие на сбор и обработку сведений, характеризующих физиологические особенности организма человека, на основе которых его можно однозначно идентифицировать: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, цифровой образ лица, сетчатки глаза и другие (биометрические персональные данные) Данное положение отсутствует в европейском законодательстве, его включение в российский законопроект полностью обосновано в виду активного использования данных видов персональных данных и необходимости регулирования порядка их сбора и обработки Проект закона дает широкий перечень чувствительных данных, в который включаются данные, касающиеся расового или этнического происхождения, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сексуальных наклонностей или судимости. Законопроект воспринял многие положения европейского законодательства и в части трансграничной передачи персональных данных Главный принцип в ; этом вопросе - оператор должен убедиться в том, что в соответствии с международными договорами
либо законодательством другого государства обеспечивается адекватный уровень защиты прав субъектов персональных данных. Однако, законом не предусмотрено условие о необходимости вступления уполномоченных органов РФ в переговоры с уполномоченным лицом иностранного государства об урегулировании двухсторонних отношений в целях обеспечения адекватности защиты персональных данных при трансграничной передаче. Все информационные системы согласно законопроекту подлежат регистрации оператором в уполномоченном органе по защите прав субъектов персональных дапных до начала их обработки, причем подобная регистрация
осуществляется бесплатно. Закрепленный в законе перечень случаев, когла обработка данных может осуществляться без обязательной регистрации, существенно шире, чем в европейском законодательстве. Так, не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных, относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне либо к субъектам персональных данных, которых связывают с оператором трудовые отношения, либо относящихся к общедоступпой информации
В европейской практике по защите персональных данных предусмотрен специализированный государственный орган в данной сфере. Российский законопроект предусмотрел возможность делегирования данных полномочий уполномоченному органу по защите прав субъектов данных, на который будут возложены функции обеспечения контроля и надзора за соответствием сбора и обработки персональных данных требованиям законодательства Уполномоченный орган по защите прав субъектов персональных данных должен будет вести российский реестр информационных систем персональных данных, а также будет наделен функцией рассмотрения обращений субъектов персональных данных о соответствии содержания и способов обработай персональных данных целям их обработки и принятия соответствующих решений.
Законопроект упустил возможность упрощенной европейской процедуры уведомления государственного органа о начале обработки персональных данных, заменив ее процедурой регистрации, спектр применения которой целесообразно свести к минимуму и применять в таких сферах, как обработка персональных данных медицинскими, маркетинговыми, банковскими учреждениями.
Новый законопроект предусмотрел необходимость введения постоянных для каждого лица идентификаторов персональных данных, которые должны присваиваться органами власти при реализации ими своих полномочий. В текущей практике большинство граждан уже прошли через многочисленные процедуры присвоения уникальных номеров - например, идентификационного номера налогоплательщика, номера обязательного пенсионного страхования и т п В большинстве подобных случаев речь шла о присвоении номера какому-либо документу, идентифицирующему физическое лицо. Законопроект подразумевает нечто иное - присвоение идентификатора непосредственно физическому лицу В данном случае с правовой точки зрения возникает, как минимум, две проблемы, требующие более внимательной и тщательной проработки. В первую очередь, речь идет о соблюдении прав граждан, чье вероисповедание может быть несовместимо с возможностью их учета посредством идентификаторов персональных данных Для решения данной проблемы должна бьпъ предусмотрена либо процедура согласия на присвоение идентификатора, либо процедура выбора альтернативного идентификатора. С другой точки зрения, возникает определенная угроза праву граждан на собственное имя, которое в информационной системе может бьпъ заменено на искусственный идентификатор В любом случае, представляется целесообразным
предусмотреть возможности альтернативного учета граждан в информационных системах и предоставления права выбора гражданам подобного идентификатора Соответствующими предложениями завершается последний параграф.
В заключении подводятся итоги исследования, формулируются основные теоретические выводы, законодательные предложения и практические рекомендации.
г
Центр инновационных технологий Россия, РТ, г. Казань, ул. К.Фукса, д. 11/6
Подписано в печать-18-0£обФормат 60x84 1/16. Бумага офсетная. Печать ризо:графическая. Гарнитура «Тайме». Усл. печ. пА Тираж 100 экз.
Отпечатано в Центре инновационных технологий Россия, РТ, 420111, г. Казань, ул. К.Фукса, 11/6 Лиц. ПЛ №0173 от 26.10.99. Тел. 38-97-56
t
г
г
t
ДооСз &
U7B7
СОДЕРЖАНИЕ ДИССЕРТАЦИИ по праву и юриспруденции, автор работы: Вельдер, Илья Александрович, кандидата юридических наук
Введение
Глава 1. Персональные данные в правовойстеме ЕС
§1 Институт защиты персональных данных: понятие и этапы формирования в праве Европейского Союза
§2 Актуальные правовые вопросы вере зашиты персональных данных в ЕС и подходы к их решению
§3 Принципы защиты персональных данных
§4 Правовойатусбъекта персональных данных
Глава 2. Механизм защиты персональных данных в ЕС
§1 Уполномоченные органы и вопросы правового регулирования их71 деятельности:
§1.1. Европейский Уполномоченный по защите данных
§1.2. Рабочая группа 29-й Статьи
§1.3 Национальные органы по защите персональных данных
§2 Административная практика вере защиты персональных93 данных
§3 Пределы защиты персональных данных
Глава 3. Соотношение европейской и некоторых других правовых111стем защиты персональных данных
§1 Взаимодействие европейской и американскойстем защиты персональных данных
§2 Роль правового опыта ЕС в формировании российского законодательства вере защиты персональных данных Заключение
ВВЕДЕНИЕ ДИССЕРТАЦИИ по теме "Система правовой защиты персональных данных в Европейском Союзе"
Актуальность темы исследования. Широкое распространение и применение информационных технологий, методов автоматической обработки данных, формирование глобальных информационных систем, доступ к которым может осуществляться практически любым лицом из любой точки земного шара - это реальные характеристики набирающей обороты цифровой эры. С одной стороны, все преимущества свободного доступа к информации напрямую обеспечивают гражданам реализацию одного из главных демократических прав на свободу информации, а ведение масштабных автоматизированных баз данных не только существенно оптимизирует разнообразные процессы подготовки и принятия решений, но и облегчает гражданам доступ к услугам цифрового рынка - от использования кредитных карт до формирования биометрического портрета и прогнозирования возможных заболеваний. С другой стороны, широкое использование персональных данных органами государственной власти, коммерческими и общественными организациями существенно усиливает риск несанкционированного вторжения посторонних лиц в личную сферу человека, создает угрозу нарушения одного из его основополагающих естественных прав - права на неприкосновенность частной жизни.
Необходимость первостепенной защиты прав человека и формирование принципа о необходимости подобной защиты подчеркнуто в работе Джона Локка «Два трактата о правлении», которая была опубликована в 1690 году, где автор писал о том, что, несмотря на то, что человек в естественном состоянии является абсолютным господином собственной личности и владений и «обладает подобным правом, все же пользование им весьма ненадежно и ему постоянно угрожает посягательство других»1. Многим позже, в конце XIX века, вопрос о необходимости защиты человека и его собственности был сформулирован несколько иначе. В 1890 году адвокат из г.Бостона (США), будущий судья Верховного Суда Луис Д.Брандейс совместно со своим коллегой Самюэлем Уорреном опубликовали в Гарвардском правовом журнале статью «Право на приватность»2. Авторы статьи сформулировали категорию «право быть оставленным в покое», полагая, что вторжение в частную жизнь представляет собой преступление более тяжкое, чем клевета и оскорбление, и потому требует более сильных и эффективных средств защиты.
Право на защиту персональных данных является одним из неотъемлемых прав современного человека. Именно так данное право трактуется в проекте Договора, учреждающего Конституцию для Европы (далее « Проект Конституции ЕС»).
Наиболее активное развитие норм о защите персональных данных наблюдается в европейском праве. Европейская конвенция о защите прав и основных свобод, Конвенция Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных, Директива 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных и Хартия Европейского Союза об основных правах 2000 года - таковы основные этапы формирования нормативного механизма защиты персональных данных на европейском континенте. Заключительным этапом его формирования стало принятие национальных законов стран-участниц
1 Локк Джон. Сочинение: в 3-х томах /Джон Локк. - Москва: 1988 г., т.З, с.334
2 Brandeis Louis D., Warren Samuel. Right of Privacy/ Louis D. Brandeis, Samuel Warren. Первая публикация -Harvard Law Review 193,1890.
ЕС, направленных на регулирование вопросов защиты персональных данных. Законодательная, правоприменительная и судебная практика стран Европейского Союза в области защиты персональных данных на основе гармонизированного законодательства и возникавшие спорные вопросы, которые выносились на рассмотрение Суда Европейских сообществ, формировали общеевропейский опыт защиты основных прав и свобод, способствовали дальнейшему развитию и внесению диктуемых реальностью изменений в наднациональное европейское право.
В Российской Федерации в базах данных различных учреждений, а также коммерческих и некоммерческих организаций накоплен огромный объем персональных данных, которые с каждым днем становятся все более и более популярным объектом хозяйственного оборота, притом что российское законодательство по защите персональных данных находится на этапе формирования. В Европейском Союзе и многих других странах специальное законодательство о защите персональных данных существует уже более десяти лет. Однако в этих странах активное развитие и совершенствование информационных технологий, стирание границ передачи данных, начало использования новых видов персональных данных таких как, например, биометрические данные, появляются новые вызовы времени, требующие решения.
Необходимостью найти ответы на подобные вызовы обусловлены актуальность и комплексность исследования проблемы защиты персональных данных.
Степень разработанности темы. Проблемы правовой защиты персональных данных мало исследованы в отечественной литературе по международному, европейскому, информационному праву, а также в работах по общей теории права. Отдельные работы затрагивают лишь выборочные аспекты защиты персональных данных - вопросы передачи данных в открытых сетях, защиты персональных данных работника, технические аспекты защиты персональных данных, использование персональных данных в Интернет - технологиях (работы А.Г.Серго, И.М.Рассолова и другие). Комплексное исследование правового института защиты персональных данных в отечественной науке не проводилось. На фоне усиления актуальности темы российские правоведы уделили данной проблематике незаслуженно мало внимания. В зарубежной, особенно в европейской, литературе вопросы правовой защиты персональных данных рассматривались многими учеными, однако их работы не анализировались применительно к задачам создания механизма защиты персональных данных в Российской Федерации.
Объектом настоящего диссертационного исследования является правовое регулирование общественных отношений по защите персональных данных в Европейском Союзе. Предметом исследования являются нормативно-правовые акты Европейского Союза, государств-участников ЕС, Российской Федерации, США и других государств, а также правовой статус субъектов персональных данных и уполномоченных органов по защите персональных данных.
Цели и задачи исследования. Основная цель настоящей работы заключается в том, чтобы проследить на примере ЕС процесс формирования института защиты персональных данных и провести сравнительный анализ европейского механизма защиты персональных данных с аналогичными механизмами в других национальных правовых системах для установления оптимальных правовых условий по обеспечению данной защиты в РФ.
Для достижения указанной цели были сформулированы следующие задачи диссертационной работы: изучение механизма правовой защиты персональных данных, сложившегося в Европейском Союзе, и составляющих его элементов; изучение, анализ и обобщение совокупности правовых норм ЕС, регулирующих вопросы сбора, хранения, обработки персональных данных, изучение аналогичных правовых норм, действующих в отдельных государствах ЕС; анализ соотношения европейского и национального права в сфере защиты персональных данных, анализ европейского законодательного, правоприменительного и судебного опыта в сфере защиты персональных данных; рассмотрение и анализ наиболее актуальных правовых проблем в сфере защиты персональных данных; рассмотрение и анализ основных принципов и пределов защиты персональных данных, особенностей правого статуса индивидов и других участников отношений в сфере обработки персональных данных; анализ правового статуса и полномочий консультативных и административных органов, их правоприменительной практики в указанной сфере; анализ терминологических различий и подходов к регулированию вопросов защиты персональных данных и обеспечения неприкосновенности частной жизни в США и Европейском Союзе, изучение механизма взаимодействия их правовых систем в указанной сфере; исследование имеющегося российского законодательства в сфере защиты персональных данных, применения имеющегося зарубежного правового опыта при выработке российских норм в данной сфере.
Методологическую основу исследования составили общенаучные методы системного анализа, обобщения нормативных, научных и практических материалов, исторический подход, частнонаучные и специальные методы сравнительного правоведения, юридико-лингвистический подходы и другие методы.
Теоретическую основу диссертации составляют работы отечественных ученых в сфере международного и европейского права -С.В.Бахина, Р.М.Валеева, Г.В.Игнатенко, А.Я.Капустина, В.А.Карташкина, С.Ю.Кашкина, Г.И.Курдюкова, И.И.Лукашука, Л.Х.Мингазова, Н.Е.Тюриной, О.И.Тиунова, М.Л.Энтина, а также работы по общей теории права.
Значительную помощь при написании работы оказали труды о праве на неприкосновенность частной жизни Н.Г. Беляевой и в сфере информационного права - И.Л.Бачило, А.В. Волокитина, Е.А. Войниканиса, Е.К.Волчинской, К.Волкова, Д.В. Головерова, А.С.Кемраджа, В.А.Копылова, С.Кривошеева, Н.Лебедевой, В.Н.Лопатина, Е.А. Лукашевой, А.П.Маношкина, М.Р. Михеевой, Ю.А Петрова, Л.Д.Реймана, И.М. Рассолова, А.В.Солдатенкова, С.А.Савченко, Т.М. Смысловой, А.Г. Серго, Г.Саниной, В.И. Ярочкина, М.В.Якушева.
При написании данной работы использовались труды таких зарубежных ученых, как Л.Байгрейв, Л.Брендейс, А.Блас, П.Блюм, Л.Бергкамп, Ч.Бейкер, Э.Лин, С.Кирк, Н.Кортес, А.Рауль, Б.Уорли, М.Оуэн, С.Уоррен, П.Хустинкс, Я.Кабел, К.Принс, Э.Эрл, К.Харви, Д.Филипс, Д.Харрингтон, М.Томсон, Д.Рейденберг.
Нормативная основа исследования. В процессе работы анализировались международные акты: Всеобщая декларация прав человека 1948 года, Международный пакт о гражданских и политических правах 1966 года, Европейская конвенция о защите прав человека и основных свобод 1950 года, Конвенция Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных, Хартия Европейского Союза об основных правах 2000 года, Проект Конституции ЕС, Рекомендации международной организации экономического сотрудничества и развития о защите личной тайны и трансграничной передаче персональных данных 1980 года и многие другие. Особое внимание было уделено специализированным нормативным документам, таким как Директива 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных 1995 года, Директива 2002/58/ЕС об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникаций, Регламент Европейского парламента и Совета № 45/2001 от 18 декабря 2000 года о защите прав частных лиц применительно к обработке персональных данных органами и учреждениями ЕС и о свободном движении таких данных, решения Суда Европейских сообществ, заключения и рекомендации Рабочей группы 29-й статьи, внутреннее законодательство и судебные решения Великобритании, Бельгии, Швеции, Италии и Финляндии.
Кроме того, при написании работы анализировалось законодательство США, Канады, Новой Зеландии, всесторонне было рассмотрено законодательство Российской Федерации.
Научная новизна исследования и положения, вынесенные на защиту. В проведенном диссертационном исследовании впервые в отечественной науке проводится комплексный анализ европейского законодательства в сфере защиты персональных данных, складывающихся подходов к его применению в административной и судебной практике, рассматриваются существенные элементы института права на защиту персональных данных, что в совокупности формирует европейский правовой опыт по защите персональных данных, который может быть применен в российской правовой системе. Научная новизна проделанной работы также раскрывается в следующих положениях, выносимых на защиту:
1. В условиях неуклонного расширения информационного пространства право на защиту персональных данных должно быть причислено к фундаментальным правам и свободам человека. Оно отлично от права на . неприкосновенность частной жизни, хотя имеет определенное сходство с ним. Отличие состоит в том, что право на неприкосновенность частной . жизни предполагает защиту, наряду с прочим, информации, относящейся к частной жизни, а право на защиту персональных данных - справедливую и л законную обработку этих данных вне зависимости от их характера и сферы использования.
2. Процесс формирования института защиты персональных данных, который является характерным для современного этапа правового развития, протекает неравномерно. Так, в ЕС данный процесс находится на стадии завершения. Главным свидетельством тому является сформированный и действующий правовой механизм защиты персональных данных. Его основу составляют нормативные документы Европейского Союза, устанавливающие основополагающие нормы-принципы, которыми определяются правовой статус субъекта данных и компетенция государственных органов по защите персональных данных. В тех национальных правовых системах, где положение о защите персональных данных до недавнего времени было закреплено в декларативной форме, например в Российской Федерации, механизм защиты персональных данных на текущий момент находится в стадии становления.
3. Институт защиты персональных данных представляет собой совокупность правовых норм, регулирующих общественные отношения, возникающие при сборе, использовании, хранении, обработке, удалении, передаче и раскрытии персональных данных, а именно любой информации, связанной с идентифицируемым или идентифицированным лицом.
Как элемент системы права он представлен совокупностью правовых норм, регулирующих однородную группу общественных отношений, характеризующихся однородностью фактического содержания, базирующихся на общих принципах защиты персональных данных и включающих специфические правовые понятия, например субъектов, контролеров и операторов персональных данных, согласия на обработку персональных данных и другие. Институт защиты персональных данных включает в себя весь спектр норм, необходимых для полноты правового регулирования, в том числе нормы-дефиниции, управомочивающие нормы, например нормы о правах субъекта данных, запрещающие нормы, например нормы о запрете обработки данных без согласия субъекта данных.
4. Институт защиты персональных данных характеризуется особым понятийным аппаратом, который включает такие общие понятия, как «персональные данные», «субъект данных», «контролер данных», «обработчик данных», «согласие субъекта на обработку данных» и многие другие. При закреплении данных понятий в национально-правовых актах
-ювозникает необходимость в уточнении их содержания с учетом различных обстоятельств, а именно: 1)установления пределов защиты персональных данных, основных принципов и 2)условий передачи данных в третьи страны, 3)полномочий правоприменительных органов по защите персональных данных, 4)степени участия неправительственных организаций и профессиональных объединений в регулировании вопросов защиты персональных данных.
5. Основу института защиты персональных данных должны составлять следующие правовые принципы: принцип законности, принцип целевой определенности, принцип минимальности, принцип качества информации, принцип участия субъекта данных и осуществления им контроля, принцип ограничения раскрытия персональных данных, принцип информационной безопасности и принцип чувствительности. Данные принципы призваны обеспечивать согласованность входящих в данный институт правовых норм, служить правовым базисом для развития правовых отношений в области защиты персональных данных и должны обладать нормативной силой для использования в судебной и правоприменительной практике в условиях постоянно развивающихся информационных технологий.
6. Эффективная защита персональных данных в ЕС обеспечивается благодаря комплексному механизму, состоящему из следующих неотъемлемых элементов: общеевропейская нормативная база, национальные законодательные акты, регулирующие вопросы защиты персональных данных, пределы их защиты и определяющие условия передачи персональных данных в третьи страны; основные принципы права по защите персональных данных, обладающие правовой четкостью; европейские консультативные и надзорные органы, национальные административные органы по защите персональных данных; особый правовой статус - основные права, свободы и обязательства -субъектов данных, контролеров, операторов и третьих лиц.
Данный механизм может быть использован в качестве модели при создании национальной системы правовой защиты персональных данных, в частности в РФ.
7. При создании российской законодательной базы в сфере защиты персональных данных следует использовать опыт европейской правовой системы с учетом имеющегося сходства между российской и европейской правовыми системами и приемлемого для России конструктивного европейского правового подхода, сочетающего в себе элементы стабильности и динамизма. Сформированный европейский правовой опыт по защите персональных данных должен быть использован в российском законодательстве для обеспечения адекватного уровня защиты персональных данных в РФ и для осуществления свободного информационного обмена между ЕС и Российской Федерацией и другими государствами и объединениями интеграционного типа.
Теоретическая значимость работы. В диссертационном исследовании раскрыто юридическое содержание приобретающего в современный период все большую важность института персональных данных, обоснована его самостоятельность и определено место в правовой системе (на примере ЕС) и выявлены основные элементы механизма его реализации.
Практическая значимость работы. Результаты диссертационного исследования могут быть использованы в правотворческой и правоприменительной деятельности в Российской Федерации, в деятельности правозащитных органов, в научных исследованиях, в учебном процессе при преподавании таких дисциплин, как «Международное право», «Право Европейского Союза», «Информационное право», в специальных курсах «Гуманитарное право» и курсах по правам человека.
Апробация результатов исследования. Результаты диссертационного исследования были использованы при рассмотрении экспертами комитета по информационной политике Государственной Думы ФС РФ проекта федерального закона «О персональных данных». Основные положения, выводы и практические рекомендации, изложенные в диссертации, были отражены в выступлениях на научных конференциях, при преподавании курсов и ведении семинаров по предмету «Международное право», а также в опубликованных статьях автора:
1. Вельдер И.А. Право на защиту персональных данных в Европейском Союзе: история развития и актуальные проблемы. Международное и Европейское право. Проблемы определения и защиты демократии, правового государства и прав человека: Тезисы докладов Международного форума, Нижний Новгород, 2-3 июля 2004 года / ННГУ им.Н.И.Лобачевского: Нижний Новгород, 2004, с.37-41
2. Вельдер И.А. Новый уполномоченный орган ЕС - Европейский супервайзер по защите данных. Вопросы правового регулирования деятельности// Сборник трудов молодых ученых Академии управления «ТИСБИ» - Казань, 2005, с.38-46
3. Вельдер И.А. Принципы защиты персональных данных в законодательстве ЕС// Сборник аспирантских научных работ юридического факультета КГУ. Вып. 6 - Казань, 2005, с.99-104
4. Вельдер И.А. Практика защиты персональных данных в странах ЕС: роль национальных административных и судебных органов // Интеллектуальная собственность и ее исследователь: Сборник трудов памяти профессора С.А.Чернышевой / Отв. ред. А.И.Абдуллин.- Казань: Изд-во Казанского государственного университета им. В.И.Ульянова-Ленина, 2005.-С. 171-178.
5. Вельдер И.А. Роль национальных административных и судебных органов стран ЕС в защите персональных данных: вопросы практики // Право и суд в современном мире. Вып. 3.- Казань: Казанский филиал Российской академии правосудия, 2005,- С. 36 - 40.
Структура работы. Диссертационное исследование состоит из введения, 3-х глав, включающих в себя 9 параграфов, заключения и списка нормативно-правовых источников и литературы. *
ВЫВОД ДИССЕРТАЦИИ по специальности "Международное право, Европейское право", Вельдер, Илья Александрович, Казань
Заключение
По итогам проведенного исследования вопросов правовой защиты персональных данных, системы правового регулирования данной сферы общественных отношений в Европейском Союзе следует сделать определенные выводы и рекомендации.
1. Вопросы правового регулирования персональных данных изначально рассматривались в контексте права на защиту неприкосновенности частной жизни, история развития которого в современной правовой доктрине началась в конце 18 века. Нормы о защите неприкосновенности частной жизни содержатся в таких основополагающих документах, как Всеобщая Декларация основных прав и свобод 1948 года, Европейская конвенция о защите прав и основных свобод 1950 года, других международных документах. Активное развитие информационных технологий накопления, хранения, обработки и передачи данных в 20 веке стало причиной принятия специального законодательства, регулирующего общественные отношения по защите персональных данных. Новаторами в этом направлении стали европейские страны, в частности Германия, где первые специальные нормы появились в середине 1970-х годов. Несколько позже появилась Рекомендация Международной организации экономического сотрудничества и развития, которая разработала рекомендации по защите личной тайны и трансграничной передаче персональных данных 1980 года и первый общеевропейский документ - Конвенция Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 года. Именно в этот момент начиналось формирование самостоятельного института защиты персональных данных.
2. Институт защиты персональных данных начал свое формирование под воздействием ряда объективных факторов. С одной стороны, принятие правовых норм было откликом законодателей на активное распространение разнообразных информационных технологий сбора, обработки и передачи персональных данных. С течением времени передача данных стала осуществляться в глобальном масштабе вне государственных границ и континентальных пределов. С другой стороны, спектр персональных данных перестал ограничиваться сферой частной жизни. Широкое развитие компьютерных технологий и внедрения баз данных в публичном секторе, в сфере потребления товаров и услуг расширили категорию персональных данных. Это послужило дополнительным толчком к перерастанию права на защиту персональных данных пределов права на неприкосновенность частной жизни. Логическим продолжением данного процесса явилось разделение двух данных прав в Хартии основных свобод Европейского Союза, ставшей частью проекта Конституции ЕС, и принятие международными специалистами в области защиты персональных данных и неприкосновенности частной жизни обращения к Организации объединенных наций о необходимости признания права на защиту персональных данных в качестве самостоятельного основного права и разработки общепринятых принципов его защиты. Кроме того, роль правовой регламентации вопросов защиты персональных данных как самостоятельного правового института существенно возрастает по мере усиления интеграции стран ЕС по сотрудничеству в рамках III опоры «сотрудничество полиций и судебных органов» в уголовно-правовой сфере.
3. С теоретической точки зрения можно предположить, что в европейском законодательстве созданы все необходимые предпосылки для формирования самостоятельного правового института защиты персональных данных. Если рассматривать институт права как элемент системы права, представленный совокупностью правовых норм, регулирующих однородную группу общественных отношений, то право на защиту персональных данных отвечает всем установленным теорией права критериям, а именно: с точки зрения однородности фактического содержания, совокупность норм о защите персональных данных регулирует общественные отношения, возникающие при сборе, хранении, обработке, удалении, передаче и раскрытии персональных данных, а именно любой информации, связанной с идентифицируемым или идентифицированным лицом; с точки зрения юридического единства правовых норм, нормы о защите персональных данных образуют единый комплекс, который базируется на общих принципах защиты персональных данных, специфических правовых дефинициях, например субъектов, контролеров и операторов персональных данных, согласия на обработку персональных данных, нормах о правовом статусе субъекта данных, о правах и обязанностях уполномоченных органов в данной сфере; с точки зрения нормативной обособленности, если ранее основополагающие положения по защите персональных данных рассматривались в рамках статьи 8 Европейской конвенции о защите прав человека и основных свобод, а специальные нормы о защите персональных данных в ЕС рассматриваются в рамках отдельной Директивы ЕС, а на уровне стран ЕС - в самостоятельных законодательных актах, регулирующих данную сферу, то на текущем этапе развития европейского законодательства базовые положения содержатся в проекте Конституции ЕС уже в качестве самостоятельного правоположения; с точки зрения полноты регулируемых отношений, совокупность норм права о защите персональных данных включает в себя весь спектр норм, в том числе нормы-дефиниции (как рассмотрено выше), управомочивающие нормы, например нормы о правах субъекта данных; запрещающие нормы, например нормы о запрете обработки данных без согласия субъекта данных.
4. Основу института защиты персональных данных в европейском законодательстве составляют восемь универсальных правовых принципов -принцип законности, принцип целевой определенности, принцип минимальности, принцип качества информации, принцип участия субъекта данных и осуществления им контроля, принцип ограничения раскрытия персональных данных, принцип информационной безопасности и принцип чувствительности.
Данные принципы не только являют собой отправные начала для свода правовых норм о защите персональных данных, но и сами обладают нормативной силой. Указанные принципы введены в качестве нормативных правил в Директиву ЕС и законодательство стран-участниц ЕС, и, кроме того, нормы-принципы служат направляющими ориентирами для уполномоченных органов в области защиты персональных данных при осуществлении ими своей правоприменительной деятельности. Восемь принципов являются базисом для создания новых правовых норм в указанной сфере, обеспечивая, таким образом, реакцию со стороны правового сообщества на вызовы все более современных и изощренных технологий и инноваций в области обработки данных.
5. Европейское законодательство полностью сформировало терминологические основы института защиты персональных данных. Свое закрепление получили такие категории, как «персональные данные», «субъект данных», «контролер данных», «обработчик данных», «согласие субъекта на обработку данных» и многие другие. Кроме того, законодательство ЕС очертило понятные пределы зашиты персональных данных, закрепило основные принципы и условия передачи данных в третьи страны.
6. В европейском законодательстве сложился четкий правовой статус идентифицируемого или идентифицированного лица - субъекта данных, правам которого корреспондируют конкретные обязательства со стороны контролеров и обработчиков персональных данных. За нарушение данных обязательств предусмотрена строго определенная ответственность. Правовой статус субъекта данных составляют его права и обязанности по защите персональных данных, которые являют собой суть европейского режима правовой защиты персональных данных. Правовой статус основан на концепции прозрачной контролируемой обработки данных, отвечающей правомерным интересам субъекта данных.
7. В Европейском Союзе сложилась строгая система административных, правоприменительных, консультативных и надзорных органов, обеспечивающих соблюдение права на защиту персональных данных как в частной, так и в публичной сферах. Отличительная черта правового статуса указанных органов - независимость как основной принцип их деятельности.
К числу независимых европейских должностных лиц относится Европейский Уполномоченный по защите данных, основной задачей которого является обеспечение уважения права на неприкосновенность частной жизни всеми союзными органами и учреждениями, а также обеспечение применения союзных норм в сфере персональных данных всеми союзными структурами. Основная консультационная функция Европейского Уполномоченного по защите персональных данных на высшем уровне проявляется в работе с
Европейской Комиссией по вопросам принятия нормативных актов применительно к защите прав частных лиц при обработке персональных данных. Деятельность Уполномоченного носит характер взаимодействия, которое осуществляется в двух основных плоскостях - в плоскости национальных органов власти (обмен информацией, требование исполнения своих обязательств по защите информации и рассмотрение спорных вопросов) и в плоскости наблюдательных органов ЕС (сотрудничество с Европолом, органами Шенгенского соглашения и Eurojust).
Рабочая группа по защите индивидов в отношении обработки их персональных данных или Рабочая Группа 29-й статьи, созданная в 1996 году, с начала своей работы играла ключевую роль в осуществлении гармонизации законодательства Европейского Союза в области защиты персональных данных, в деятельности по приведению национальных законодательных стандартов в данной сфере в соответствие со стандартами Директивы ЕС 95/46.
Рабочая группа представляет собой один из наиболее эффективных и современных консультативных органов при Европейской Комиссии. Существенная часть работы посвящена гармонизации законодательства стран-участниц ЕС в сфере защиты персональных данных. Одна из проблем, возникающих на этом пути, - это отсутствие адекватных мер принуждения к единообразному применению указанных правовых норм.
Эффективное исполнение норм по защите персональных данных, закрепленных Директивой 95/46/ЕС в европейском законодательстве, было бы невозможным без создания механизмов по надзору и защите прав и законных интересов индивидов в странах-участницах ЕС. К этому призывает ст. 28 Директивы ЕС, в которой речь идет о создании национальных органов по надзору за соблюдением положений европейского законодательства в сфере защиты персональных данных. Во всех странах ЕС на текущий момент созданы и функционируют независимые органы по защите персональных данных.
8. В Европейском Союзе сложился комплексный полноценный механизм защиты персональных данных, состоящий из следующих неотъемлемых элементов: наличие общеевропейской нормативной базы, действие национальных законодательных актов, регулирующих вопросы защиты персональных данных; правовая четкость основных принципов права по защите персональных данных; наличие европейских консультативных и надзорных органов, а также создание национальных административных органов по защите персональных данных; нормативная определенность правового статуса - основных прав, свобод и обязательств - субъектов данных, контролеров, операторов и третьих лиц; наличие правовой определенности по пределам защиты персональных данных и условиям их передачи в третьи страны.
Активное использование указанных норм в правоприменительной практике, участие судебных органов в разрешении спорных вопросов, несомненно, будут способствовать эффективному развитию института защиты персональных данных.
9. В США и ЕС существуют разные подходы к регулированию вопроса о защите персональных данных.
В первую очередь, существуют принципиальные различия в терминологическом подходе. В ЕС в законодательстве используется термин data protection» - защита информации и термин "personal data", которые, в первую очередь, относятся к сбору и обработке персональных данных в целом. В США привычным является термин "privacy" - личная жизнь и "privacy data" - информация о личной жизни. В Европе более узко и четко трактуют содержание персональных данных, понимая под ними конкретную идентифицирующую информацию, нежели чем это принято в США, где в термин «privacy» включены еще и элементы правового статуса граждан, такие как их права и свободы. Понятие «персональные данные» более емкое и может быть составной частью понятия «личная жизнь». Различные подходы используются и в законодательстве. Если в Европейском Союзе в 1995 году был принят единый нормативный акт - Директива ЕС, которая воплотилась в национальное законодательство стран ЕС в виде национальных законов, то в США использовался принципиально иной подход. В США нет единого закона о защите персональных данных, более того, законодательство США в этом смысле носит реакционный характер, направляя свои усилия на урегулирование конкретной идентифицированной проблемы. В отличие от стран ЕС, в США не создан единый орган, координирующий вопросы защиты персональных данных, в пределах своей компетенции подобную работу ведут несколько самостоятельных федеральных органов и комиссий.
Существенные различия в подходах к правовому регулированию, наличие разных координирующих органов были главными препятствиями на пути достижения согласованного решения по методу взаимодействия ЕС и США в сфере защиты и передачи персональных данных. В целях обеспечения межконтинентального взаимодействия в сфере передачи данных и их защиты в 2000 году были приняты "Safe Harbor Privacy Principles" - «Принципы Безопасной Бухты» - документ, разработанный Европейской Комиссией и
Департаментом Коммерции США с целью содействия развитию торговли и экономических отношений между ЕС и США и содействия организациями США в достижении соответствия адекватному уровню обеспечения защиты персональных данных, установленному Директивой ЕС.
10. Законодательство Российской Федерации содержит разрозненные нормы о защите персональных данных в более чем 10 различных правовых актах, отсутствуют единые правовые принципы подобной защиты, а имеющиеся нормы носят в большей степени декларативный характер, поскольку они лишены реального механизма их реализации.
В рамках действующего законодательства правовая проблема заключается в том, что ни гражданское, ни уголовное законодательство термин «персональные данные» не используют, применяя в имеющихся нормах понятие «частной жизни». Наличие терминологических различий в законодательстве не позволяет с уверенностью говорит о возможности эффективного обеспечения прав на защиту персональных данных в случае их нарушения, например, в судебном порядке.
11. С активизацией нелегального рынка персональных данных в России необходимо скорейшее принятие нового основополагающего закона «О персональных данных». Проект подобного закона на момент написания данной работы прошел в Государственной Думе РФ первое чтение. Однако в проекте закона уже заключены определенные правовые проблемы. Так, проект закона исключает из сферы своего действия отношения, возникающие при сборе и обработке персональных данных физическими лицами исключительно для личных и семейных нужд, а также при защите персональных данных, отнесенных в установленном порядке к государственной тайне. Положение о личных и семейных нуждах требует конкретизации, поскольку цели обработки данных остаются до конца не ясными. Подобная широкая трактовка позволит обрабатывать практически любые персональные данные, включая категорию чувствительных данных. Закон воспринял многие положения европейского законодательства в части трансграничной передачи персональных данных, но не предусмотрел условие о необходимости вступления в переговоры с уполномоченным лицом иностранного государства об урегулировании двухсторонних отношений в целях обеспечения адекватности защиты персональных данных при трансграничной передаче. Кроме того, закон упускает возможность упрощенной европейской процедуры уведомления государственного органа о начале обработки персональных данных, заменив ее процедурой регистрации, спектр применения которой целесообразно свести к минимуму и применять в таких сферах, как обработка персональных данных медицинскими, маркетинговыми, банковскими учреждениями.
Новый законопроект предусмотрел необходимость введения постоянных для каждого лица идентификаторов персональных данных, которые должны присваиваться органами власти при реализации ими своих полномочий. В текущей практике большинство граждан уже прошли через многочисленные процедуры присвоения уникальных номеров, например идентификационного номера налогоплательщика, номера обязательного пенсионного страхования и т.п. В большинстве подобных случаев речь шла о присвоении номера какому-либо документу, идентифицирующему физическое лицо. Законопроект подразумевает нечто иное - присвоение идентификатора непосредственно физическому лицу. В данном случае с правовой точки зрения возникают две проблемы, требующие более внимательной и тщательной правовой проработки. В первую очередь, это соблюдение религиозных прав граждан, чье вероисповедание может быть несовместимо с возможностью их учета посредством идентификаторов персональных данных. Для решения данной проблемы должна быть предусмотрена либо процедура согласия на присвоение идентификатора, либо процедура выбора альтернативного идентификатора. С другой точки зрения, возникает определенная угроза праву граждан на • ^ собственное имя, которое в информационной системе может быть заменено искусственным идентификатором. Представляется целесообразным предусмотреть возможности альтернативного учета граждан в информационных системах и предоставления права выбора гражданам подобного идентификатора.
БИБЛИОГРАФИЯ ДИССЕРТАЦИИ «Система правовой защиты персональных данных в Европейском Союзе»
1. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.), вступила в силу со дня ее официального опубликования. Текст Конституции опубликован в "Российской газете" от 25 декабря 1993 г. N237
2. Всеобщая декларация прав человека 1948 года
3. Международный пакт о гражданских и политических правах 1966 года
4. Европейская конвенция о защите прав человека и основных свобод 1950 года
5. Конвенция Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 года
6. Хартия Европейского Союза об основных правах 2000 года
7. Договор, учреждающий Конституцию для Европы. EN Official Journal of the European Union С 310/41.16.12.2004
8. Директива 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном передвижении персональных данных 1995 года Official Journal of European Communities, L 201/37.
9. Директива 2002/58/EC об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникаций Official Journal of European Communities, L 205/48.
10. Федеральный закон от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности". Текст Федерального закона опубликован в Собрании законодательства Российской Федерации от 10 апреля 1995 г., N 15, ст. 1269, в "Российской газете" от 12 апреля 1995 г.
11. Бахин С.В.Субправо (международные своды унифицированного контрактного права)/С.В.Бахин, СПб.: Издательство «Юридический центр Пресс», 2002, с. 83
12. Бачило И.Л. Персональные данные в сфере бизнеса / И.Л. Бачило //Вопросы законодательства, № 1, 2002 год, с.28
13. Беляева Н.Г. Право на неприкосновенность частной жизни и доступ к персональным данным / Беляева Н.Г. // Известия высших учебных заведений. Правоведение.—Б.м.—2001
14. Беляева Н.Г. Право на неприкосновенность частной жизни: соотношение международно-правовой и внутригосударственной регламентации: Дис. канд. юрид. наук. 12.00.10 / Н.Г.Беляева; Урал. гос. юрид. акад.; Науч. рук. Г.В.Игнатенко.—Екатеринбург: Б.и., 2000
15. Валеев P.M. Контроль в современном международном праве / Р.М.Валеев, Казан, гос. ун-т, Юрид. фак.—Казань: Центр инновац. технологий, 2001
16. Валеев P.M. Права человека. Права человека в международном и внутригосударственном праве/ Р.М.Валеев, Казань: КГУ, 2004
17. Валеев P.M. Организации объединенных наций 60 лет. / Р.М.Валеев// Московский журнал международного права - 2005, №4, с.43-44
18. Волков Константин, Кривошеев Степан, Санин Григорий. Прикосновенность личности/К.Волков, С.Кривошеев, Г.Санин// Журнал «Итоги», 06.02.2006, №6, с. 54
19. Игнатенко Г.В., Тиунов О.И. Международное право. Учебник для вузов / Г.В.Игнатенко, О.И.Тиунов, Москва: «Норма-Инфра-М»,2000, с.367
20. Информационная безопасность государственных и коммерческих фирм/ Волокитин А.В, Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А., под общей редакцией Л.Д.Реймана Москва, НТЦ «Фиорд-Инфо», 2002.
21. Капустин А.Я. Европейский Союз: интеграция и право / А.Я.Капустин, Москва: Издательство РУДН, 2000, 436 с.
22. Карташкин В.А. ОБЩАЯ теория прав человека / В.А.Карташкин; Рук.авт.коллектива и отв.ред.Е.А.Лукашева Институт государства и права Рос.АН.—М.: Норма, 1996
23. Карташкин Владимир Алексеевич. Права человека в международном и внутригосударственном праве /В.А.Карташкин.—М.: Институт государства и права, 1995
24. Кашкин С.Ю. Право Европейского Союза/С.Ю.Кашкин, Москва: Проспект, 2005, с. 10.
25. Кемрадж А.С., Головеров Д.В. Правовые аспекты использования Интернет-технологий/ А.С.Кемрадж, Д.В Головеров, Москва: Книжный мир, 2002.
26. Колосов Ю.М., Кривчикова Э.С. Международное право: Учебник. /Ю.М.Колосов, Э.С.Кривчикова, Москва: Международные отношения, 2000, с.480-483
27. Копылов В.А. Информационное право. Вопросы теории и практики/ В.А. Копылов, Москва: Юристъ, 2003
28. Лазарев В.В.Общая теория права и государства. Учебник для юридических вузов/В.В.Лазарев, Москва: Юрист, 1996, с. 169
29. Лебедева Н. Право. Личность. Интернет/ Н.Лебедева, Москва: Волтерс Клувер, 2004
30. Лукашева Е.А. Права Человека. Учебник для вузов/Е.А.Лукашева, Москва: «Норма», 2003, с. 136, с.514
31. Лукашук И.И. Принцип демократии в международном праве/И.И.Лукашук//Московский журнал международного права. Спец.выпуск, декабрь 1998.
32. Лукашук И.И. Международное право. Особенная часть: Учебник/И.И.Лукашук, Москва: «Бек», 2001, с.9-13
33. Локк Джон. Сочинение: в 3-х томах /Джон Локк. Москва: 1988 г., т.З, с.334
34. Лопатин В.Н. Защита права на неприкосновенность частной жизни / Лопатин В.Н. // Журнал российского права.—Б.м.—1999
35. Международное публичное право: учебник/Л.П.Ануфриева, Д.К.Бекяшев, К.А.Бекяшев, В.В.Устинов-Москва: Проспект, 2003, с.281
36. Мингазов Л.Х. Права человека: сущность, назначении и система прав человека. Права человека в международном и внутригосударственном праве/ Л.Х. Мингазов, Казань: КГУ, 2004
37. Михеева М.Р. Проблема правовой защиты персональных данных. Исследование по программе малых грантов/М.Р.Михеева//электронный ресурс. Режим доступа: http://crime.vl.ru/docs/stats/stat93.htm, свободный
38. Права человека: Учебник для вузов / Комиссия по правам человека при Президенте Российской Федерации, Ин-т государства и права Рос. АН;
39. Васильева Т.А., Карташкин В.А., Колесова Н.С. и др.; Отв.ред.Е.А.Лукашева.— М.: НОРМА (Издательская группа НОРМА ИНФРА-М), 2001
40. Рассолов И.М. Право и Интернет/ И.М.Рассолов, Москва: Норма, 2003
41. Серго А.Г. Интернет и право/ А.Г. Серго, Москва: Бестселлер, 2003
42. Смыслова Т.М. Международное информационное право. Методические материалы к междисциплинарному спецкурсу. Фонд защиты гласности/ Т.М. Смыслова, Москва: «СТЭНСИ», 2002
43. Тиунов О.И. Международное гуманитарное право/ О.И. Тиунов, Москва: 1999
44. Тюрина Н.Е. Публичный интерес в праве международной торговли/ Н.Е. Тюрина, Казань: Изд-во Казанского Государственного Университета, 2003
45. Тюрина Н.Е.Международный правопорядок: (Современные проекты совершенствования и преобразования) / Н. Е. Тюрина, Казань: Изд-во Казан, ун-та, 1991
46. Тюрина Н.Е. Международно-правовое регулирование прав человека. Права человека в международном и внутригосударственном праве/ Н. Е. Тюрина, Казань: Изд-во КГУ, 2004, с.62
47. Уорли Беки. Интернет: реальные и мнимые угрозы. Истории людей, защищающих себя от кражи персональных данных, мошенничества и вирусов. Научное редактирование и комментарии Серго А.Г. Москва, Кудиц-Образ, 2004
48. Еще раз о международной правосубъектности индивидов/ С.В.Черниченко//Московский журнал международного права, 2005, №4, с. 11-27
49. Шинкарецкая Г.Г. Права человека в международном праве./ Г.Г. Шинкарецкая//Международное право: Учебник. Отв.ред. Е.Т.Усенко, Г.Г.Шинкарецкая, Москва, 2003, с.370-379
50. Энтин M.J1. Международные гарантии прав человека. Опыт Совета Европы./М.Л. Энтин, Москва, 1997
51. Якушев М.В., Войниканис Е.А. Информация. Собственность. Интернет. Традиция и новеллы в современном праве/ М.В. Якушев, Е.А. Войниканис, Москва: Волтерс Клувер, 2004, с.2
52. Ярочкин В.И. Информационная безопасность / В.И. Ярочкин, Москва, Фонд «Мир», Академический проспект, 2003
53. Brandeis Louis D., Warren Samuel. Right of Privacy. Первая публикация -Harvard Law Review 193 (1890).
54. Bentivoglio John, Cortez Nathan, Kirk Sarah. Global Privacy Law Update /John Bentivoglio, Nathan Cortez, and Sarah Kirk// Computer lawyer, Volume 20 -Number 6 June 2003
55. Bias Alonso D. Transfers of personal data to third countries in the employment context: the use of international databases for workers' data/ Alonso D. Bias //Privacy & Informatie, volume 4, Issue 1,2001.
56. Brown Toby Securing Your Clients' E-Information/Toby Brown// The Computer & Internet Lawyer -Volume 20 Number 10 - October 2003 - c. 13-14
57. British Gas Trading Limited v Data Protection Registrar (1998) decision 24.03.1998/14th Report of DP Registrar - June 1998 // электронный ресурс. -Режим доступа: http://www.informationtribunal.gov.uk/ourdecisions/ documents/britishgas.pdf, свободный
58. Bygrave Lee A. Data Protection Law. Approaching its Rationale, Logic and Limits/ Lee A.Bygrave, Kluwer Law International, 2002
59. Cohen Julie E. DRM and Privacy/ Julie E. Cohen// Berkeley Technology Law Journal volume 18 - issue 2 (2003)
60. Data protection in the European Union. Office of Official Publications of the European Communities 2000// электронный ресурс. Режим доступа: http.7/ec.europa.eu/justicehome/fsj/privacy/law, свободный
61. Data Protection Working Party, "Notification", Working Document from 3.12.1997 // электронный ресурс. Режим доступа: http://europa.eu.int/ comm/internalmarket/en/dataprot/wpdocs/wp8en.htm, свободный
62. The 'Durant' Case and its impact on the interpretation of the Data Protection Act 1998. UK Information Commissioner's Office 02/02/04/электронный ресурс. Режим доступа: www.informationcomissioner.gov.uk, свободный
63. Eli Lilly agrees to New Safeguards for Consumer Data//Computer & Internet Lawyer -Volume 19 Number 11 - November 2002 p.33
64. European Data Protection Supervisor. Opinion. Conference "Data Protection: the next 21 years?". Manchester, 29 November 2005 / электронный ресурс. -Режим доступа: www.edps.eu.int, свободный
65. Fromholz Julia М. "The European Union data Privacy Directive" / Julia M Fromholz//Berkeley Technology Law Journal,2000,Volume 15,issue 1, c.468
66. Harvey James A., Sanzaro Karen M. An Overview of the proposed Safe Harbor Privacy Requirements / James A. Harvey and Karen M. Sanzaro // The Computer Lawyer Volume 17 - Number 8 - August 2000 - p. 19-24
67. Hetcher Steven. Changing the Social meaning of privacy in Cyberspace/ Steven Hetcher //Harvard Journal of Law and Technology, Volume 15- Number 1-Fall 2001 p. 150-205
68. House approves Bill Easing restrictions on electronic surveillance/Intellectual Property and technology law Journal// volume 14 number 11 - November 2002 p.20
69. Japanese Parliament passes legislation governing use of personal information / Intellectual Property and technology law Journal // volume 15 number 8 - August 2003 p. 18
70. Johnson Bruce E. H. The Battle over Internet Privacy and the First Amendment/Bruce E. H. Johnson// The Computer & Internet Lawyer-Volume 18 -Number 4 April 2001 - c.21-24
71. Largest COPPA civil penalties to date FTC settlements with Mrs.Fields Cookies and Hershey Foods Corporation/Intellectual Property and technology law Journal // volume 15 number 6 - June 2003 p. 15
72. Leventhal Michael. The Golden Age of Wireless/Michael Leventhal// Intellectual Property & Technology Law Journal-Volume 14 Number 1 - January 2002-c. 1-6
73. Lin E. Prioritizing privacy: A constitutional response to the Internet/ E. Lin// Berkeley Technology Law Journal, Volume 17, issue 3, 2002.
74. Location Privacy Protection Act introduced in the Senate// Intellectual Property and technology law Journal volume 13 - number 11 - November 2001 p.26
75. Major Online Advertiser Agrees to Privacy Standards for Online Tracking//Computer & Internet Lawyer Volume 19 - Number 11 - November 2002 p.32
76. McEvoy Sharlene M. E-mail and internet monitoring and the workplace do employees have a right to privacy?// Communications and the Law - June - 2002 p.69-83
77. Mckenna Alan. Playing Fair with Consumer Privacy in the Global On-line Environment/ Alan MckennaI/Information & Communications Technology Law Vol. 10- No. 3, 2001
78. McLean Deckle. Plain View: A concept Useful to the Public Disclosure and Intrusion Privacy Invasion Torts / Deckle McLean//Communication and Law March 1999 - p.9-30
79. McLean Deckle. Privacy and Section 1983 of the Federal Civil Rights Law/Deckle McLean// Communication and Law March 2002 - p. 77-94
80. On-line services and data protection and privacy. Volume II. European Commission. Directorate-General//Internal Market and Financial Services, 1998
81. Owen Mark, Earl E.K. Data Protection how did we get here and where are we going?/ Mark Owen, E.K.Earl //Tolley's Communications Law; volume 8, Issue 4, 2003.
82. Proposed Legislation targets unsolicited commercial email/Intellectual Property and technology law Journal// volume 15 number 8 - August 2003 p. 16
83. Raul Alan Charles. Privacy and the digital State: balancing private information and personal privacy/ Alan Charles Raul //Boston; Dordrecht, Kluwer Academic Publisher, 2002.
84. Reidenberg Joel. Resolving conflicting international data privacy rules in cyberspace/Joel Reidenberg//Stanford law review -Vol 52 number 5 - May 2000 c.1317-1371
85. Report from the commission: First report on the implementation of the Data Protection Directive (95/46/EC) / Brussels, 15.5.2003 COM(2003) 265 final
86. Resolution on the use of biometrics in passports, identity cards and traveltV»documents. 27 International Conference of Data Protection and PrivacyA
87. Comissioners, Montreux, 16 September 2005//электронный ресурс. Режим доступа: www.edps.eu.int, свободныйth
88. Resolution on the use of Personal Data for Political Communication. 27 International Conference of Data Protection and Privacy Comissioners, Montreux,tVi
89. Switzerland 16 September 2005//электронный ресурс. Режим доступа: www.edps.eu.int, свободный
90. Summary of the results of the Questionnaire year 2003// Spring Conference of European Data Protection Authorities, Rotterdam, April 21-22-23, 2004. College Bescherming Persoonsgegevens. Netherlands.
91. Sundara Rajan Mira T. The past and the future of privacy in Russia/Rajan Mira T. Sundara//27 Review of Central and East European Law 2001 #4, c.625-638
92. The feasibility of seamless system of data protection rules for the European Union. European Commission. Directorate-General// Internal Market and Financial Services, 1998
93. Belgium, Royal Decree no. 4, September 7, 1993 / электронный ресурс. -Режим доступа: http://ec.europa.eu/justicehome/fsj/privacy/law, свободный
94. Закон Итальянской республики № 675/96, статья 7 / электронный ресурс. -Режим доступа: http://ec.europa.eu/justicehome/fsj/privacy/law, свободный
95. UK Data Protection Act 1998 / электронный ресурс. Режим доступа: http://ec.europa.eu/justicehome/fsj/privacy/law, свободный
96. US Video Privacy Protection Act of 1988 18 USC 2710, effective 1988.// [электронный ресурс] Режим доступа: http://www.law.cornell.edu/uscode/html/ uscode 18/uscsec 1800002710—OOO-.html, свободный
97. US Cable Television Consumer Protection and Competition Act of 1992, 47 USC 609/106 Stat 1461, effective October 5,1992. //[электронный ресурс] Режим доступа: http://www.fcc.gov/Bureaus/OSEC/library/ legislativehistories/1439.pdf, свободный
98. US Fair Credit Reporting Act, 15 USC 1681 effective January 7, 2002. //[электронный ресурс] Режим доступа: http://www.ftc.gov/os/statutes/fcra.htm, свободный
99. US Corporations may fail to meet EU Privacy Standards/Intellectual Property and technology law Journal//volume 13 number 11 - November 2001 p.28
100. US Corporations may fail to meet EU Privacy Standards/Intellectual Property and technology law Journal//volume 13 number 11 - November 2001 p.28
101. US Warns Philippines on IP Protections//Intellectual Property & Technology Law Journal -Volume 14 Number 7 - July 2002, p.29